Trojan Chthonic atakuje banki na całym świecie

18 grudnia, 2014

Analitycy bezpieczeństwa z Kaspersky Lab wykryli nowe szkodliwe oprogramowanie atakujące systemy bankowości online i ich klientów. Zidentyfikowany jako najnowsza wersja niesławnego trojana ZeuS, Trojan-Banker.Win32.Chthonic, w skrócie Chthonic, zaatakował ponad 150 różnych banków i 20 systemów płatniczych w 15 krajach. Celem tego szkodnika są głównie instytucje finansowe w Wielkiej Brytanii, Hiszpanii, Stanach Zjednoczonych, Rosji, Japonii i we Włoszech.

Chthonic wykorzystuje funkcje komputerów, w tym kamerę internetową i klawiaturę, do kradzieży danych uwierzytelniających transakcje bankowości online, takich jak zapisane hasła. Cyberprzestępcy mogą również łączyć się zdalnie z komputerem i wydawać mu polecenia przeprowadzania transakcji.

Jednak główną bronią trojana Chthonic są narzędzia pozwalające na podmienianie elementów wyświetlanych stron internetowych. Dzięki nim szkodnik może umieścić własny kod i obrazy w stronach bankowych ładowanych przez przeglądarkę komputera, co pozwala atakującym uzyskać numer telefonu ofiary, jednorazowe hasła oraz PIN-y, jak również wszelkie loginy i hasła wprowadzane przez użytkownika.

Ofiary są infekowane poprzez odsyłacze internetowe lub załączniki e-mail zawierające dokument z rozszerzeniem .DOC, który następnie otwiera „tylne drzwi” dla szkodliwego kodu. Załącznik kryje specjalnie stworzony dokument RTF, który wykorzystuje lukę CVE-2014-1761 w pakiecie Microsoft Office.

Po pobraniu szkodliwy kod, który zawiera zaszyfrowany plik konfiguracyjny, jest wstrzykiwany do procesu msiexec.exe, a na maszynie zostaje zainstalowanych kilka szkodliwych modułów.
Jak dotąd eksperci z Kaspersky Lab wykrył moduły, które potrafią zbierać informacje systemowe, kraść zapisane hasła, przechwytywać znaki wprowadzane z klawiatury, umożliwiać zdalny dostęp i nagrywać obraz oraz dźwięk przy użyciu kamery i mikrofonu, jeśli takie istnieją.

W przypadku jednego z zaatakowanych japońskich banków, szkodnik potrafił ukrywać ostrzeżenia banku i zamiast tego wstrzykiwać skrypt, który pozwalał atakującym przeprowadzać różne transakcje przy użyciu konta ofiary.

Klienci rosyjskich banków, którzy stanowią cel tego trojana, jak tylko zalogują się, są witani oszukańczą stroną bankową. W tym celu trojan tworzy ramkę iframe z phishingową kopią strony internetowej, która posiada ten sam rozmiar co oryginalne okno.  

Chthonic posiada kilka podobieństw z innymi trojanami. Wykorzystuje ten sam moduł szyfrujący co boty Andromeda, ten sam schemat szyfrowania co trojany ZeuS AES i Zeus V2 oraz maszynę wirtualną podobną do tej wykorzystywanej w szkodnikach ZeusVM i KINS. 

Na szczęście, wiele fragmentów kodu stosowanego przez trojana Chthonic w celu wykonywania wstrzyknięć sieciowych nie może już być wykorzystywanych, ponieważ banki zmieniły strukturę swoich stron, a w niektórych przypadkach również domeny internetowe.

„Wykrycie trojana Chthonic potwierdza aktywną ewolucję trojana ZeuS. Twórcy szkodliwego oprogramowania w pełni wykorzystują nowoczesne techniki, w czym w dużym stopniu pomógł im wyciek kodu źródłowego ZeuSa. Chthonic stanowi kolejną fazę w ewolucji – wykorzystuje szyfrowanie AES ZeuSa, wirtualną maszynę podobną do tej, jaką stosuje ZeusVM i KINS, oraz moduł pobierający szkodliwy kod – aby atakować coraz więcej instytucji finansowych oraz klientów przy użyciu wyrafinowanych metod. Uważamy, że w przyszłości z pewnością pojawią się nowe warianty ZeuSa i nadal będziemy śledzić oraz analizować każde zagrożenie, aby móc wyprzedzać o krok cyberprzestępców” – powiedział Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab, i jeden z badaczy, który uczestniczyli w badaniu tego nowego zagrożenia.

Więcej informacji o trojanie Chthonic pojawi się już wkrótce w serwisie SecureList.pl prowadzonym przez Kaspersky Lab.

źródło: Kaspersky Lab

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]