ЛК предупреждает о возможных атаках с использованием нового банковского троянца

ЛК предупреждает о возможных атаках с помощью нового банковского троянца

Новый банковский троянец Neverquest может стать причиной волны атак на финансы интернет-пользователей в преддверии праздничного сезона. К такому выводу пришли эксперты «Лаборатории Касперского» после внимательного изучения этого зловреда, еще не успевшего получить большую популярность у киберпреступников, но имеющего широкий вредоносный функционал и готового, по уверениям его создателей, к атаке на «любой банк любой страны».

Вредоносная программа Neverquest содержит модуль для кражи данных, которые пользователь вводит на сайтах онлайн-банков через браузеры Internet Explorer и Mozilla Firefox. Вредоносный код внедряется в страницы банковских сайтов при их загрузке в указанные браузеры. Список сайтов, с которыми «работает» троянец, уже сегодня включает в себя порталы известных банков и платежных систем. Более того, дополнительный функционал Neverquest позволяет злоумышленникам пополнять список атакуемых банков и разрабатывать коды внедрения для новых сайтов, которые изначально не входили в перечень.

Когда пользователь зараженного компьютера заходит на любой веб-сайт из этого списка, Neverquest, контролируя соединение браузера с сервером, дает злоумышленникам возможность модифицировать содержимое загружаемой веб-страницы и перехватить все введенные пользователем данные, включая логин и пароль. Получив таким образом доступ к банковскому счету, киберпреступники переводят деньги пользователя на свои счета или, для запутывания следов, – на счета других жертв.

Neverquest также обладает возможностями самораспространения. Помимо реквизитов доступа к веб-банкингу троянец крадет данные учетных записей от FTP-серверов, с которым работает пользователь. Затем злоумышленники с помощью эксплойтов используют учетные записи для распространения Neverquest другим жертвам. В функционал этой вредоносной программы входит также кража данных от учетных записей электронной почты пользователя, которые впоследствии применяются злоумышленниками для рассылки спама с вложенной программой-установщиком троянца Neverquest. Как правило, подобные сообщения подделываются под официальные уведомления различных сервисов.

Помимо всего прочего, аналитики «Лаборатории Касперского» обнаружили, что широкий функционал Neverquest дает возможность сбора данных для доступа к аккаунтам популярных социальных сервисов:Facebook, ВКонтакте, Flickr, Twitter, MySpace и др. Такая опция предоставляет киберпреступникам дополнительные каналы для распространения троянца. До настоящего времени случаев распространения Neverquest через эти сервисы замечено не было, однако ничто не мешает злоумышленникам воспользоваться такой возможностью.

Еще одной настораживающей особенностью нового зловреда является то, что он поддерживает практически все способы обхода защиты систем онлайн-банкинга. Все эти факторы и продуманные вредоносные возможности Neverquest теоретически могут привести к резкому увеличению числа жертв этой программы.

«Этот зловред появился относительно недавно, и злоумышленники работают с ним еще не в полном объеме. Однако с учетом возможности Neverquest по самораспространению число атакованных пользователей может значительно вырасти за небольшой промежуток времени, – рассказывает Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского». – Канун Нового года и Рождества – период традиционной активности злоумышленников, ворующих деньги со счетов пользователей. Уже в ноябре участились случаи появления на хакерских форумах сообщений о покупке баз для доступа к банковским счетам. В свете этой тенденции мы не исключаем, что ближе к концу года могут начаться массовые атаки Neverquest, поэтому пользователям стоит проявлять особую осмотрительность в Сети и непременно обеспечивать безопасность своих финансовых транзакций специальными защитными решениями».

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru