Nowa wersja trojana ZeuS atakuje klientów bankowości online na całym świecie

Piotr Kupczyk 20-12-2014, 15:37

Chthonic, zidentyfikowany jako najnowsza wersja niesławnego trojana ZeuS, zaatakował ponad 150 różnych banków i 20 systemów płatniczych w 15 krajach. Celem tego szkodnika są głównie instytucje finansowe w Wielkiej Brytanii, Hiszpanii, Włoszech, Stanach Zjednoczonych, Rosji i Japonii.

Trojan-Banker.Win32.Chthonic, w skrócie Chthonic, wykorzystuje funkcje komputerów, w tym kamerę internetową i klawiaturę, do kradzieży danych uwierzytelniających transakcje bankowości online, takich jak zapisane hasła. Cyberprzestępcy mogą również łączyć się zdalnie z komputerem i wydawać mu polecenia przeprowadzania transakcji.

Jednak główną bronią trojana Chthonic są narzędzia pozwalające na podmienianie elementów wyświetlanych stron internetowych. Dzięki nim szkodnik może umieścić własny kod i obrazy w stronach bankowych ładowanych przez przeglądarkę komputera, co pozwala atakującym uzyskać numer telefonu ofiary, jednorazowe hasła oraz PIN-y, jak również wszelkie loginy i hasła wprowadzane przez użytkownika.

Sposób infekowania i działania

Ofiary są infekowane poprzez odsyłacze internetowe lub załączony do e-maili dokument, który otwiera „tylne drzwi” dla szkodliwego kodu. Załącznik kryje specjalnie stworzony dokument RTF, który wykorzystuje lukę CVE-2014-1761 w pakiecie Microsoft Office. Po pobraniu szkodliwy kod, który zawiera zaszyfrowany plik konfiguracyjny, jest wstrzykiwany do procesu msiexec.exe, a na maszynie zostaje zainstalowanych kilka szkodliwych modułów.

Jak dotąd eksperci wykryli moduły, które potrafią zbierać informacje systemowe, kraść zapisane hasła, przechwytywać znaki wprowadzane z klawiatury, umożliwiać zdalny dostęp i nagrywać obraz oraz dźwięk przy użyciu kamery i mikrofonu, jeśli takie istnieją.

W przypadku jednego z zaatakowanych japońskich banków, szkodnik potrafił ukrywać ostrzeżenia banku i zamiast tego wstrzykiwać skrypt, który pozwalał atakującym przeprowadzać różne transakcje przy użyciu konta ofiary. Z kolei klienci rosyjskich banków, którzy stanowią cel tego trojana, jak tylko zalogują się, są witani oszukańczą stroną bankową. W tym celu trojan tworzy ramkę iframe z phishingową kopią strony internetowej, która posiada ten sam rozmiar co oryginalne okno.

Podobieństwo do innych zagrożeń

Chthonic posiada kilka podobieństw z innymi trojanami. Wykorzystuje ten sam moduł szyfrujący co boty Andromeda, ten sam schemat szyfrowania co trojany ZeuS AES i Zeus V2 oraz maszynę wirtualną podobną do tej wykorzystywanej w szkodnikach ZeusVM i KINS. Na szczęście, wiele fragmentów kodu trojana, służących do wykonywania wstrzyknięć sieciowych, nie może już zostać zastosowanych, ponieważ banki zmieniły strukturę swoich stron, a w niektórych przypadkach również domeny internetowe.

- Wykrycie trojana Chthonic potwierdza aktywną ewolucję trojana ZeuS. Twórcy szkodliwego oprogramowania w pełni wykorzystują nowoczesne techniki, w czym w dużym stopniu pomógł im wyciek kodu źródłowego ZeuSa. Chthonic stanowi kolejną fazę w ewolucji - wykorzystuje szyfrowanie AES ZeuSa, wirtualną maszynę podobną do tej, jaką stosuje ZeusVM i KINS, oraz moduł pobierający szkodliwy kod – aby atakować coraz więcej instytucji finansowych oraz klientów przy użyciu wyrafinowanych metod. Uważamy, że w przyszłości z pewnością pojawią się nowe warianty ZeuSa - mówi Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania w Kaspersky Lab.

Czytaj także: Otworzyłeś załącznik? Możesz otrzymać żądanie okupu


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031