Chthonic: hakerzy znowu atakują banki

Przeczytaj także: Bankowość online: trojan Zeus najgroźniejszy

Działalność Chthonica opiera się o wykorzystanie funkcji komputerów, w tym kamery internetowej i klawiatury, dzięki czemu w ręce cyberprzestępców dostają się dane konieczne do uwierzytelniania transakcji dokonywanych w ramach bankowości online (m.in. zapisane hasła). Co więcej, oszuści są również w stanie połączyć się zdalnie z maszyną i wydać jej polecenia przeprowadzania transakcji.

Na tym jednak nie koniec. Głównym narzędziem wykorzystywanym przez tego trojana jest bowiem możliwość podmieniania elementów, które są wyświetlane na witrynach internetowych. Dzięki temu szkodnik jest w stanie ulokować własny kod i obrazek w stronach bankowych ładowanych przez przeglądarkę komputera. Na skutek tego oszuści stają się szczęśliwymi posiadaczami numeru telefonu ofiary, jej jednorazowych haseł, PIN-ów oraz wszelkich loginów i haseł, jakie wprowadza użytkownik.

Ofiary są infekowane poprzez odsyłacze internetowe lub załączniki e-mail zawierające dokument z rozszerzeniem .DOC, który następnie otwiera „tylne drzwi” dla szkodliwego kodu. Załącznik kryje specjalnie stworzony dokument RTF, który wykorzystuje lukę CVE-2014-1761 w pakiecie Microsoft Office.

Po pobraniu szkodliwy kod, który zawiera zaszyfrowany plik konfiguracyjny, jest wstrzykiwany do procesu msiexec.exe, a na maszynie zostaje zainstalowanych kilka szkodliwych modułów.

Jak dotąd eksperci z Kaspersky Lab wykrył moduły, które potrafią zbierać informacje systemowe, kraść zapisane hasła, przechwytywać znaki wprowadzane z klawiatury, umożliwiać zdalny dostęp i nagrywać obraz oraz dźwięk przy użyciu kamery i mikrofonu, jeśli takie istnieją.

W przypadku jednego z zaatakowanych japońskich banków, szkodnik potrafił ukrywać ostrzeżenia banku i zamiast tego wstrzykiwać skrypt, który pozwalał atakującym przeprowadzać różne transakcje przy użyciu konta ofiary.
Klienci rosyjskich banków, którzy stanowią cel tego trojana, jak tylko zalogują się, są witani oszukańczą stroną bankową. W tym celu trojan tworzy ramkę iframe z phishingową kopią strony internetowej, która posiada ten sam rozmiar co oryginalne okno.

Chthonic posiada kilka podobieństw z innymi trojanami. Wykorzystuje ten sam moduł szyfrujący co boty Andromeda, ten sam schemat szyfrowania co trojany ZeuS AES i Zeus V2 oraz maszynę wirtualną podobną do tej wykorzystywanej w szkodnikach ZeusVM i KINS.

Na szczęście, wiele fragmentów kodu stosowanego przez trojana Chthonic w celu wykonywania wstrzyknięć sieciowych nie może już być wykorzystywanych, ponieważ banki zmieniły strukturę swoich stron, a w niektórych przypadkach również domeny internetowe.

„Wykrycie trojana Chthonic potwierdza aktywną ewolucję trojana ZeuS. Twórcy szkodliwego oprogramowania w pełni wykorzystują nowoczesne techniki, w czym w dużym stopniu pomógł im wyciek kodu źródłowego ZeuSa. Chthonic stanowi kolejną fazę w ewolucji - wykorzystuje szyfrowanie AES ZeuSa, wirtualną maszynę podobną do tej, jaką stosuje ZeusVM i KINS, oraz moduł pobierający szkodliwy kod – aby atakować coraz więcej instytucji finansowych oraz klientów przy użyciu wyrafinowanych metod. Uważamy, że w przyszłości z pewnością pojawią się nowe warianty ZeuSa i nadal będziemy śledzić oraz analizować każde zagrożenie, aby móc wyprzedzać o krok cyberprzestępców” - powiedział Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab, i jeden z badaczy, który uczestniczyli w badaniu tego nowego zagrożenia.