En 2013 los investigadores de Securelist publicaron un artículo detallando las nuevas amenazas de la banca online. En él explicaban un troyano bancario conocido como NeverQuest, que destripaban y analizaban para que cualquiera con ganas de aprender más pudiera hacerlo.
Pues bien, tres años y medio después de que un hacker listase el malware en un foro, la Guardia Civil ha detenido al credor de NeverQuest en Barcelona. La orden de arresto llegó desde el FBI, a través de la Interpol, con la que se ha detenido al ciudadano ruso de 32 años, Stanislav Lisov, según se publica en DeepDotWeb.
El troyano habría aparecido por primera vez en un foro ruso conocido por contener volcados de datos y la gran mayoría de virus de este tipo que se pueden encontrar hoy. NeverQuest, como malware bancario, podía ser usado para atacar hasta 100 bancos a la vez añadiendo código a sus páginas web según el medio. No obstante, no es el único de su clase. Otros como Suceful también "despluman" a sus víctimas.
Cuando un usuario infectado visitaba uno de los servicios que el virus ideftificaba, entonce instalaba en la máquina de la víctima JavaScripts maliciosos. Una vez los scripts habían sido desplegados, NeverQuest manipulaba la conexión entre el ordenador de la víctima y la web visitada. Después, robaba sus credenciales y las enviaba a hackers de todo el mundo.
Así se detuvo a Lisov
Stanislav Lisov fue arrestado tras devolver un coche de alquiler en el Aeropuerto del Prat el pasado 13 de enero. Según ha publicado la propia Guardia Civil en su web, "agentes del Equipo de Huidos de la Justicia de la Unidad Central Operativa (UCO) de la Guardia Civil que habían detectado su presencia en Cataluña, tras varios días de vigilancia le interceptaron cuando pretendía abandonar España en un vuelo con destino a otro país de la U.E.".
Según se ha publicado en BleepingComputer, al parecer el destino del hacker era la ciudad de Lyon, en Francia. El cuerpo de seguridad explicaba así la detención del ciberdelincuente:
El detenido, desde 2014 era investigado por los EE.UU por desarrollar, distribuir y utilizar, junto a otras personas, el software malicioso "NeverQuest", más conocido entre la ciber delincuencia como "Troyano Bancario"; softwares diseñados para facilitar el acceso no autorizado a ordenadores de personas e instituciones financieras con el fin de robar en línea credenciales bancarias, información de tarjetas de crédito y demás información personal identificable e información financiera. Lisov, estaba considerado como un operador importante de NeverQuest, habiéndose encargado entre otros ilícitos, de la creación y administración de una red de ordenadores infectados con NeverQuest mediante el arrendamiento y adquisición de servidores de ordenadores utilizados para administrar dicha red.
Según la Guardia Civil, se condujo una investigación muy minuciosa de los servidores operados por Lisov en Franca y Alemania, revelando bases de datos con listas de información robada de instituciones financieras. Entre los datos contenidos en ellas se encontraban balances de las cuentas.
Uno de estos servidores contenía archivos con millones de credenciales de acceso, lo que incluye nombres de usuario, contraseñas y preguntas de seguridad y respuestas para las cuentas de acceso al banco. Los cuerpos policiales, especialmente el FBI, creen que Lisov ideó NeverQuest en base a estas pruebas. Los oficiales aseguran que los servidores apuntan al sospechoso.
En total, el uso de NeverQuest ha supuesto a las entidades financieras pérdidas por valor de cinco millones de dólares. Vale la pena recordar que los ciberdelincuentes cada vez están más organizados, con lo que la guerra contra la ciberdelincuencia todavía seguirá mucho tiempo librándose aunque se ganen batallas como esta.
Vía | DeepDotWeb, Guardia Civil, BleepingComputer
En Genbeta | Las webs de apuestas y juegos, las más usadas para distribuir malware
Ver 2 comentarios