Nová hrozba Chthonic - modifikace malwaru ZeuS

Jde o novou modifikaci nechvalně známého trojského koně ZeuS. Nese označení Trojan-Banker.Win32.Chthonic, zkráceně Chthonic a napadl přes 150 bank a 20 platebních systémů v 15 zemích. Nejvíce se zaměřil na finanční instituce ve Velké Británii, Španělsku, USA, Rusku, Japonsku a Itálii.  Chthonic zneužívá řadu funkcí na počítači, včetně webové kamery a klávesnice ke krádeži bankovních údajů, například hesel. Útočníci se na napadený počítač mohou také vzdáleně připojit a provádět na něm příkazy, jako například převody peněz.  Hlavní zbraní malwaru Chthonic jsou také takzvané nástroje na vsunutí (web injectors) vlastního kódu a obrázku na stránky banky. Ty se otevřou v prohlížeči napadeného počítače a útočníci tak mají možnost získat telefonní číslo oběti, jednorázové heslo a PIN, stejně jako heslo a přihlašovací jméno.

Oběti jsou napadeny odkazy nebo přílohami e-mailu s rozšířením .DOC souboru, který v počítači vytvoří backdoor pro škodlivý kód. Příloha obsahuje speciálně navržený RTF dokument, který umí využít zranitelnost CVE-2014–1761 v produktech Microsoft Office.

V těchto zemích malware napdá klienty bank.

Po stažení je škodlivý kód se souborem s šifrovanou konfigurací vsunut do procesu msiexec.exe a na přístroji je nainstalována řada škodlivých modulů. Kaspersky Lab zatím objevila moduly schopné sbírat informace, hesla, odezírat psaní na klávesnici, získat vzdálený přístup a nahrávat video či zvuk pomocí připojené webové kamery nebo mikrofonu. V případě jedné japonské banky dokonce útočníci uměli skrýt varovná oznámení banky a místo toho vsunout skript, který jim umožnil provádět různé transakce s účtem oběti.

Chthonic sdílí některé podobné znaky s jinými Trojany. Používá stejný šifrovací a stahovací nástroj jako Andromeda, schéma stejné jako Zeus AES a V2 a virtuální stroje podobné jako ZeusVM a KINS. Většinu fragmentů kódu používaného malwarem Chthonic už naštěstí nelze použít, protože banky změnily strukturu svých stránek a někdy i domény. Analytici se domnívají, že v budoucnu se objeví další varianty malwaru ZeuS.

Více informací o kampani Chthonic naleznete na webu Securelist.com.