يُعَد برنامج Neverquest أحد برامج تروجان المصرفية الجديدة التي انتشرت بشكل ذاتي من خلال وسائل التواصل الاجتماعية والبريد الإلكتروني وبروتوكولات نقل الملفات. ويمتلك هذا البرنامج القدرة على التعرف على المئات من الخدمات المصرفية عبر الإنترنت ومواقع الخدمات المالية الأخرى. وعندما يحاول المستخدم المصاب (بهذا البرنامج) الدخول إلى أحد المواقع يتفاعل برنامج تروجان من خلال تفعيل نفسه ذاتيًا ثم يبدأ في سرقة بيانات الاعتماد الخاصة بالضحية.
بعد ذلك يعمل Neverquest على نقل بيانات الاعتماد المسروقة وإعادتها إلى خادم القيادة والتحكم. وبمجرد أن تصبح هناك، يستطيع المهاجم استخدام بيانات الاعتماد في تسجيل الدخول إلى الحسابات المصابة عبر حوسبة الشبكة الافتراضية (VNC)، وتُعَد VNC أساسًا نظام سطح مكتب مشترك، لذلك يستخدم المجرمون بشكل أساسي أجهزة الكمبيوتر الخاصة بالضحايا من أجل الدخول إلى البنك الإلكتروني الخاص بالضحية والذي يتعامل معه عبر الانترنت ومن ثم يُنَفِّذ عمليات السرقة. وبالتالي يصبح من المستحيل تمامًا ان يُمَيِّز البنك المستخدمين الشرعيين من المجرمين.
وقد أعلن كاسبرسكي لاب في وقتٍ سابق هذا الأسبوع أن برنامج تروجان قد أصاب الآلاف من أجهزة المستخدمين ولكن كما أوضح خبير البرامج الخبيثة سيرجي جولوفانوف أن هذا البرنامج لديه القدرة على القيام بالمزيد من الضرر طوال موسم العطلات بسبب ميزات التكرار الذاتي الفعالة والمتنوعة. في الحقيقة، بالعودة إلى عام 2009، استخدم البرنامج الخبيث Bredolab أساليب التوزيع ذاتها التي يستخدمها حاليًا برنامج Neverquest، وبناء على ذلك، أصبح Bredolab في نهاية الأمر ثالث برنامج خبيث مُوَزَّع على شبكة الإنترنت.
وقد شرح جولوفانوف في تحليل على Securelist: “عندما يزور المستخدم أحد المواقع المُدرَجَة في القائمة باستخدام جهاز مصاب، فإن البرنامج الخبيث يسيطر على اتصال المتصفح بالخادم.” وأضاف: “يستطيع المستخدمون الخبثاء الحصول على أسماء المستخدمين وكلمات المرور المُدخَلَة من قِبَل المستخدم وتعديل محتوى صفحة الويب. وسوف يتم إدخال جميع البيانات المدخلة من قِبَل المستخدم على صفحة الويب المُعَدَّلَة ومن ثَمَّ يتم نقلها إلى المستخدمين الخبثاء.”
بمجرد أن يتمكن المهاجم من السيطرة على حساب الضحية، يستطيع أن يُفَرِّغه تمامًا في حساب آخر خاضع لسيطرته. في كثير من الحالات، وبالرغم من ذلك، لاحظ جولوفانوف أن المهاجمين يُحركون الأموال المسروقة من خلال سلسلة من حسابات الضحية. وبهذه الطريقة، فإنهم يقومون بتفريغ الأموال من حساب أحد الضحايا إلى حساب آخر، وهكذا تتكرر هذه العملية عدة مرات قبل أن يحصلوا على المال مباشرةً بأنفسهم وذلك لجعل عملية تعقُّب أنشطتهم أمرًا صعبًا.
يقوم المهاجمون بتفريغ الأموال من حساب أحد الضحايا إلى حساب آخر، وهكذا تتكرر هذه العملية عدة مرات قبل أن يحصلوا على المال مباشرةً بأنفسهم وذلك لجعل عملية تعقُّب أنشطتهم أمرًا صعبًا.
وقد تم عرض Neverquest للبيع على الأقل في أحد المنتديات السوداء. ويبدو أن هذا البرنامج يصيب فقط المستخدمين الذين يتصفحون باستخدام إنترنت إكسبلورر وموزيلا فايرفوكس، إلا أن مصممي Neverquest يتباهون بأنهم يستطيعون أن يعدلونه بحيث يهاجم “أي مصرف في أي دولة.”
ويحتوي هذا البرنامج الخبيث أيضًا على ميزة وهي القدرة على البحث عن الكلمات الرئيسية المتعلقة بالخدمات المصرفية الخاصة وذلك أثناء تصفُّح المستخدم المصاب للشبكة. وإذا كان المستخدم يزور موقعًا يشتمل على هذه الكلمات الرئيسية، فإن برنامج تروجان يُفَعِّل نفسه ويبدأ في اعتراض اتصالات المستخدم وإرسالها مرةً أخرى إلى المهاجمين. وإذا كان الموقع الذي يزوره الضحية ينتهي به الأمر إلى المصرف، فإن المهاجم يضيف هذا الموقع الجديد إلى قائمة الواقع التي تحفز Neverquest تلقائيًا.
ثم يتم إرسال هذا التحديث مباشرةً من خلال البنية التحتية للقيادة والسيطرة إلى كل الأجهزة المصابة الاخرى.
Fidelity.com يعتبر موقع إلكتروني لأحد أكبر شركات الاستثمار ذات صناديق الاستثمار المشتركة، وطبقًا للتقرير يبدو أنها كانت أحد أهم اهداف برنامج تروجان.
وقد كتب جولوفانوف على Securelist: “يوفر موقعها (يقصد الشركة) على شبكة الإنترنت للعملاء قائمة طويلة بالطرق والأساليب التي تستخدمها الشركة في إدارة أموالهم على الإنترنت.” وأضاف: “هذا الأمر يعطي للمستخدمين الخبثاء الفرصة لنقل الأموال النقدية إلى حساباتهم الشخصية، وليس ذلك فقط، بل يمكنهم أيضًا المضاربة بها في سوق الأسهم وذلك من خلال استخدام الحسابات والأموال الخاصة بضحايا Neverquest.”
وقد تم تصميم Neverquest أيضًا بحيث يبدأ في حصد البيانات عندما يزور المستخدم المصاب أي عدد من المواقع غير المتصلة بالشؤون المالية، بما في ذلك مواقع جوجل وياهو وأمازون AWS وفيس بوك وتويتر وسكايب وغيرها.
كتب جولوفانوف: “إن الأسابيع السابقة لعطلات عيد الميلاد ورأس السنة الجديدة عادةً ما تكون فترة مفعمة وثرية بنشاط المستخدمين الخبثاء.” وأضاف: “في وقت مبكر من تشرين الثاني/ نوفمبر، لاحظ كاسبرسكي لاب بعض الحالات التي يتم فيها تقديم منشورات ومشاركات في منتديات القراصنة حول شراء وبيع قواعد البيانات الخاصة بالوصول إلى الحسابات المصرفية وغيرها من الوثائق المستخدمة في فتح وإدارة الحسابات التي يُرسَل إليها الأموال المسروقة، يمكننا توقع أننا سنرى هجمات شاملة لـ Neverquest في نهاية العام، مما قد يؤدي في نهاية المطاف إلى أن يصبح المزيد من المستخدمين ضحايا لعمليات سرقة الأموال النقدية عبر الإنترنت.”
وتابع قائلاً:
“تتطلب الحماية ضد الهجمات التي تُشَن من قِبَل Neverquest إلى المزيد من برامج مكافحة الفيروسات القياسية؛ حيث يحتاج المستخدمون إلى حل متخصص وفعال يضمن سلامة المعاملات المالية. على وجه الخصوص، يجب أن يكون الحل (المكافح للفيروسات) قادرًا على التحكم والسيطرة على عملية تشغيل المتصفح ومنع أي تلاعب من قِبَل التطبيقات الأخرى.” لحسن الحظ يمتلك كاسبرسكي لاب مثل هذه التقنية والتي تُسَمَّى بـ “المال الآمن”.
كجزء من برنامج كاسبرسكي لحماية الإنترنت وكاسبرسكي بيور، تحمي هذه التقنية عمليات تفاعل المستخدم مع المواقع المالية بالإضافة إلى الإهتمام الكبير بتأمين الاتصال المشفر وحالات غياب رقابة الطرف الثالث لمتصفحات الويب.