El panorama de amenazas está en constante evolución y los investigadores de seguridad han descubierto nuevas iteraciones de un antiguo malware troyano que se había dirigido a instituciones bancarias en el pasado.
Se ha descubierto que Neverquest, una rama del troyano bancario Gozi, está cambiando su objetivo en los sitios de redes sociales y portales de juegos. Parece que los creadores del malware han trabajado duro para inyectar campos de inicio de sesión falsos en sitios web a los que el troyano está dirigido específicamente para eliminar datos confidenciales, incluidos números de seguridad social, PIN y nombres de usuario. Después de eso, el historial de tráfico web se borra automáticamente del sitio web de destino, gracias a una nueva función del malware que hace precisamente eso.
Durante sus gloriosos días, el troyano Gozi pudo robar millones de dólares a víctimas que, sin saberlo, habían entregado sus credenciales bancarias a los atacantes. La versión más reciente tiene formularios web de destino preseleccionados que, cuando son visitados por un usuario cuya computadora está infectada por el malware, activan al troyano para iniciar automáticamente la operación maliciosa.
Los piratas informáticos están vendiendo el malware Neverquest a través del kit de explotación Neutrino como el vector más popular en el mercado negro. Y con la adición de nuevas capacidades insertadas en el troyano, lo que le permite alterar el tráfico web mientras realiza su actividad maliciosa, los usuarios de Internet deben tener cuidado al iniciar sesión en sus sitios de redes sociales favoritos como Facebook, Twitter, LinkedIn, así como portales de juegos.
Los Web-injects integrados en el troyano Neverquest se parecen a los demás troyanos bancarios en el sentido de que pueden acceder al cifrado y modificar el tráfico web. Esto expone las transacciones bancarias al fraude en línea mientras un usuario todavía está en sesión y el malware inyecta un campo de inicio de sesión fingido en formularios web que de otro modo serían legítimos. Los usuarios desprevenidos seguramente caerán en este malware.
Los investigadores también encontraron que la nueva versión del malware se ha distribuido a la vuelta de la esquina durante casi un año, lo que indica que ha ampliado su alcance entre los usuarios de redes sociales y juegos en línea en todo el mundo. Además de las actualizaciones de las capacidades del troyano, los desarrolladores del malware también han reforzado sus sitios web específicos. Se informa que estos desarrolladores provienen de Rusia y sus objetivos se encuentran principalmente en los Estados Unidos.
Se puede recordar en informes recientes que grandes bancos como JP Morgan han sido víctimas de importantes violaciones de datos y ciberataques. Según los investigadores, los ataques comenzaron hace unos meses. Solo podemos tomar precauciones adicionales al iniciar sesión en el sitio web de nuestro banco y en las cuentas de redes sociales.
