Chthonic: il virus che attacca le banche on-line.

Chthonic il virus che sttacca le banche

Chthonic: il virus che attacca le banche on-line.

La scoperta da parte di Kaspersky Lab: è una nuova versione del trojan Zeus. Ha creato problemi a più 150 banche e 20 sistemi di pagamento in 15 Paesi.

La nuova minaccia malware che colpisce i sistemi di banking online e i loro clienti si chiama Trojan-Banker.Win32.Chthonic, o in breve Chthonic. L’hanno scoperta gli analisti di sicurezza di Kaspersky Lab definendola un’evoluzione del tristemente famoso Trojan ZeuS.
Finora ha creato problemi a più 150 banche e 20 sistemi di pagamento in 15 Paesi. Sembra che prenda maggiormente di mira le istituzioni finanziarie situate negli Stati Uniti, in Spagna, Russia, Giappone e Italia. Chthonic sfrutta le funzioni del computer, tra cui la webcam e la tastiera, per rubare le credenziali dei clienti del banking online. I criminali possono anche connettersi da remoto al computer e controllarlo per effettuare transazioni.

La principale modalità d’azione di Chthonic, rimangono gli injector web che permettono al Trojan di inserire il suo codice e le sue immagini nelle pagine bancarie caricate dal browser del computer, consentendo ai cybercriminali di ottenere il numero di telefono della vittima, le sue password temporanee e i PIN, oltre a tutti i dettagli del login e delle password inserite dall’utente.
Le vittime vengono infettate tramite link o documenti con estensione .DOC allegati nelle email che installano una backdoor per il codice nocivo.
L’allegato contiene un documento RTF creato appositamente per sfruttare la vulnerabilità CVE-2014-1761 dei prodotti Microsoft Office. Una volta scaricato, il codice dannoso che contiene un file di configurazione criptato viene iniettato nel processo msiexec.exe e nel dispositivo vengono installati numerosi moduli nocivi.

Fino ad ora Kaspersky Lab ha scoperto moduli che possono raccogliere informazioni di sistema, rubare le password salvate, registrare i tasti digitati, rendendo possiblie l’accesso da remoto e registrare video e suoni tramite la webcam o il microfono, se presenti. In una delle banche giapponesi prese di mira, il malware è stato in grado di nascondere le notifiche della banca e iniettare uno script che permettesse agli hacker di effettuare diverse transazioni usando l’account della vittima. I clienti delle banche russe colpite, invece non appena effettuano il login, vengono accolti da pagine di siti bancari falsi. Il Trojan, in questo caso, crea un iframe che copia, mantenendo le stesse dimensioni, la finestra originale del sito.

Chthonic ha alcune caratteristiche in comune con altri Trojan: usa lo stesso encryptor e lo stesso downloader dei bot Andromeda, lo stesso schema di criptaggio dei Trojan Zeus AES e Zeus V2 e una macchina virtuale simile a quella usata nei malware ZeusVM e KINS. Fortunatamente, molti frammenti di codice usati da Chthonic per effettuare le iniezioni online non possono più essere utilizzati in quanto le banche hanno cambiato la struttura delle loro pagine e, in alcuni casi, i domini.

“La scoperta di Chthonic conferma che il Trojan ZeuS si sta ancora evolvendo attivamente. I writer dei malware fanno ampio uso delle tecniche più recenti aiutati dalla diffusione del codice sorgente di ZeuS. Chthonic è l’evoluzione di ZeuS: usa il criptaggio di ZeuS AES, una macchina virtuale simile a quella usata da ZeusVM e KINS e il downloader di Andromeda – per prendere di mira sempre più istituzioni finanziarie e clienti ignari con metodi sempre più sofisticati. Siamo sicuri che in futuro incontreremo nuove varianti di ZeuS e continueremo a registrare e analizzare ogni minaccia per trovarci sempre un passo avanti rispetto ai cybercriminali”, ha commentato Yury Namestnikov, Senior Malware Analyst at Kaspersky Lab e ricercatore che ha effettuato un’indagine sulla minaccia.

Condividi questo post

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *