Analitičari kompanije Kaspersky Lab otkrili su novu pretnju po onlajn bankarski sistem i njegove mušterije. Identifikovana kao evolucija nepopularnog ZeuS trojanca, Trojan-Banker.Win32.Chthonic ili kraće Chthonic, napala je više od 150 različitih bankovnih računa i 20 sistema za plaćanje u 15 država. Čini se da su joj glavna meta finansijske institucije u Velikoj Britaniji, Španiji, SAD-u, Rusiji, Japanu i Italiji.

Chthonic koristi kompjuterske funkcije uključujući i web kameru i tastaturu kako bi ukrao lične podatke,poput sačuvanih šifri koji se koriste za onlajn bankarstvo. Napadači se takođe mogu daljinski povezati na kompjuter i tako im komandovati kako da izvedu transakcije.

Glavno oružje Chithonic-a je ubrizgavanje putem veb-a. Ovo omogućava Trojancu da unese svoj kod i slike u bankarske stranice koje se očitaju na pretraživaču na kompjuteru, dozvoljavajući napadaču da dobije telefonski broj žrtve, jednokratne šifre i pinove, kao i bilo koju šifru ili podatak koju je korisnik uneo.

Žrtve su zaražene putem veb linkova ili putem i-mejl priloga koji sadrže .DOC ekstenziju koja onda upostavlja podlogu za zlonamerni kod. Prilog sadrži specijalno izrađeni RTF dokument, dizajniran da iskoristi CVE-2014-1761 ranjivost kod Microsoft Office proizvoda.

Kad se jednom preuzme, zlonamerni kod koji sadrži šifrovani konfiguracioni fajl je ubrizgan u msiexec.exe proces i tako je veliki broj zlonamernih modula instaliran na mašini.

Kompanija Kaspersky Lab je do sada otkrila module koji mogu da sakupljaju sistemske informacije, da podkradaju sačuvane šifre, podatke unete za logovanje, koje omogućavaju daljinski pristup i snimaju video i zvuk uz pomoć veb kamere i mikrofona, ukoliko postoje.

U slučaju kada je jedna japanska banka bila na meti, virus je bio u stanju da sakrije upozorenja banke i umesto toga da ubaci tekst koji dozvoljava napadačima da realizuju različite transakcije koristeći nalog žrtve.

Mušterije ruske banke koje su bile pogođene ovim virusom pozdravljene su lažnim bankovnim stranama u trenutku kada su se ulogovali. Ovo je postignuto tako što je Trojanac stvorio elektronski okvir sa lažnom kopijom veb sajta koja je iste veličine kao i originalni prozor.

Chthonic. deli pojedine sličnosti sa ostalim Trojancima. Koristi isti šifrarnik i program za preuzimanje kao i Andromedia botovi, istu šemu sa kodovima kao Zeus AES i Zeus V2 Trojanci i virtualnu mašinu koja je slična onoj koja je korišćena u ZeusVM i KINS virusima.

Na sreću, većina fragmenata kodova koje je Chthonic koristio za veb ubrizgavanja više se ne mogu koristiti zato što su banke promenile strukture svojih stranica, a u nekim slučajevima i domene.

„Otkriće Chthonic-a potvrđuje da se ZeuS trojanac još aktivno razvija. Kreatori virusa maksimalno koriste najnovije tehnologije, potpomognuti procurelim izvornim kodom ZeuS-a. Chthonic je sledeća faza u razvoju ZeuSa. Koristi ZeuS AES kodiranja, virtualnu mašinu sličnu onoj koja je korišćena od strane ZeusVM, KINS-a i Andromeda programa za preuzimanje – kako bi za metu postavio još više finansijskih institucija i nedužnih mušterija na još sofisticiraniji način. Verujemo da ćemo, bez sumnje, videti jos novih varijacija ZeuS-a u budućnosti i da ćemo da nastavimo da pratimo i analiziramo svaku pretnju kako bismo bili jedan korak ispred sajber kriminalaca” rekao je Yury Namestenikov, viši analitičar pretnji kompanije Kaspersky Lab i jedan od istraživača koji su pomogli da se istraži ova pretnja.

Za više detalja, molimo Vas da posetite Securelist.com