Novo trojan ataca 150 bancos

A nova estirpe de Zeus Trojan apelidado Chthonic foi descoberto na natureza segmentação mais de 150 bancos e 20 sistemas de pagamento, principalmente na Europa.

Especialistas acreditam que eles viram tudo sobre o trojan Zeus , P2P versões, versões que infectam SaaS , agentes que exploram a rede Tor ou que mulas de dinheiro recruta ... então prontamente uma nova estirpe do malware em regiões selvagens e surpreende todos.

A nova variante Zeus é apelidado Chthonic e depende de um novo mecanismo para carregar seus módulos. A nova cepa de máquinas infectadas de malware prevalentemente no Reino Unido, Espanha, EUA, Rússia e Japão. Outras infecções também foram relatados em outros países europeus, incluindo a Bulgária, Irlanda, França, Alemanha e Itália.

Chthonic 3

Chthonic é servido às vítimas através do bot Andromeda, bem como através de um exploit para uma vulnerabilidade no Microsoft Office ( CVE-2014-1761 ) que é distribuído via e-mail.

"Uma nova ameaça de malware significativa segmentação sistemas bancários online e seus clientes tem sido detectado por analistas de segurança da Kaspersky Lab. Identificada como uma evolução do infame ZeuS Trojan, Trojan-Banker.Win32.Chthonic, ou Chthonic para breve, é conhecido por ter atingido mais de 150 bancos e 20 diferentes sistemas de pagamento em 15 países. Parece ser direcionados principalmente para as instituições financeiras no Reino Unido, a Espanha, os EUA, Rússia, Japão e Itália. ", Afirma um post publicado pela Kaspersky Lab.

O especialista descobriu que muitos componentes da Chthonic são compatíveis com sistemas de 64 bits, ele combina o esquema de criptografia de outras cepas de Zeus, bem como uma máquina virtual implementada por ZeusVM e KINS trojan .

"Chthonic compartilha algumas semelhanças com outros Trojans. Ele usa a mesma encryptor e downloader como bots Andrômeda, o mesmo esquema de criptografia AES como Zeus e Zeus Trojan V2, e uma máquina virtual semelhante ao utilizado em ZeusVM e KINS malware. ", Continua o post.

Chthonic usa um módulo principal que baixar todos os outros módulos do malware, o agente trabalha com plataformas de 32-bit e 64-bit, e entre as suas capacidades não está coletando informações do sistema, roubar senhas do sistema através Pony malwares , keyloggers, web controle de câmera, forma grilagem, injeção web e acesso remoto através de VNC componente de desktop remoto.

Chthonic 2

Os especialistas destacaram os injetores de Chthonic web que permitem que o malware para inserir seu próprio código no navegador quando vítimas visite o site dos bancos visados.

"Chthonic explora as funções do computador, incluindo a câmara web e teclado para roubar credenciais bancárias on-line, tais como senhas salvas. Os invasores também pode se conectar ao computador remotamente e comandá-lo a realizar as operações. ", Afirma o relatório.

"Principal arma do Chthonic, no entanto, é injetores web. Estes permitem o cavalo de Tróia para inserir seu próprio código e imagens nas páginas bancárias carregados pelo navegador do computador, permitindo que os atacantes para obter o número da vítima telefone, senhas de uso único e PINs, bem como quaisquer login e senha detalhes inseridos pelo usuário . "

O esquema de ataque não é diferente daquele implementado com outra estirpe de Zeus, ele conta com o man-in-the-middle técnica que permite Chthonic para i ntercept comunicação do cliente para o banco alvo e modifica a página web carregado na navegador injectar o código necessário. A injeção de código permite que atacantes para roubar informações bancárias (log-in detalhes, PIN, senha de uso único).

Pelo menos em um ataque contra um banco japonês, Chthonic foi capaz de esconder os avisos do banco, os clientes afetados, entretanto, de bancos russos foram enganados usando um iframe com uma cópia phishing do site que tem o mesmo tamanho da janela original.

"Felizmente, muitos fragmentos de código utilizados por Chthonic para realizar injeções web não pode mais ser usado, porque os bancos mudaram a estrutura de suas páginas e, em alguns casos, os domínios também."

A descoberta de Chthonic trojan é a demonstração de que o Trojan ZeuS ainda está evoluindo, graças também à disponibilidade de seu código-fonte no subterrâneo de hacking .

"" A descoberta de Chthonic confirma que o Trojan ZeuS ainda está evoluindo de forma activa. Os criadores de malware estão a fazer pleno uso das técnicas mais recentes, ajudaram consideravelmente pelo vazamento do código fonte do ZeuS. "

Uma análise detalhada do malware está disponível no website SecureList .

Pierluigi Paganini

( Assuntos de Segurança  - Chthonic, Zeus Trojan Bancário)