2014-12-22

SECURITY

Kaspersky Lab descobre nova variante do ZeuS dirigida a bancos

O Chthonic explora as funções do computador, incluindo a câmara web e o teclado para roubar credenciais bancárias online, como passwords. Os cibercriminosos também podem ligar-se ao computador de forma remota e ordenar-lhe que realize transacções.

Kaspersky Lab descobre nova variante do ZeuS dirigida a bancos

Apesar de atacar a câmara web e o teclado, a arma principal do Chthonic são os injectores web que permitem ao Trojan inserir o seu próprio código e as imagens nas páginas dos bancos carregadas pelo browser.

Os analistas da Kaspersky Lab descobriram uma nova ameaça dirigida a sistemas de banca online e aos seus clientes. Identificado como uma evolução do Trojan ZeuS, o Trojan-Banker.Win32.Chthonic ou simplesmente Chthonic já atacou mais de 150 bancos e 20 sistemas de pagamento online diferentes em 15 países. Parece dirigir-se principalmente a instituições financeiras do Reino Unido, Espanha, EUA, Rússia, Japão e Itália.

"A descoberta do Chthonic confirma que o Trojan ZeuS continua a evoluir activamente. Os criadores de malware estão a fazer pleno uso das últimas técnicas, ajudados consideravelmente pela fuga do código fonte do ZeuS. O Chthonic é a fase seguinte na evolução do ZeuS. Utiliza a encriptação do AES Zeus, uma máquina virtual similar à utilizada pelo ZeusVM e KINS, e o programa de descarga do Andrómeda - para atacar cada vez mais instituições financeiras e clientes inocentes de formas cada vez mais sofisticadas. Acreditamos que, sem dúvida, veremos novas variantes do ZeuS no futuro, e continuaremos a rastrear e a analisar toda a ameaça para estar sempre um passo à frente dos cibercriminosos", afirma Yury Namestnikov, Analista Sénior de Malware da Kaspersky Lab e um dos investigadores que participou na investigação e descoberta desta ameaça.

Apesar de atacar a câmara web e o teclado, a arma principal do Chthonic são os injectores web que permitem ao Trojan inserir o seu próprio código e as imagens nas páginas dos bancos carregadas pelo browser, com o objectivo de permitir aos atacantes obterem o número de telefone da vítima, passwords e PINs, assim como os inícios de sessão introduzidos pelo utilizador.

As vítimas são infectadas através de links web ou de ficheiros anexos no correio electrónico que têm uma extensão .DOC, documento que depois direcciona para um backdoor com código malicioso. O ficheiro anexo contém um documento RTF especialmente concebido para explorar a vulnerabilidade CVE-2014-1761 nos produtos do Microsoft Office.

Uma vez descarregado o código, um ficheiro de configuração encriptado é injectado no processo msiexec.exe e uma série de módulos maliciosos é instalada na máquina. Até agora, a Kaspersky Lab já descobriu módulos que podem recolher informação do sistema, roubar passwords guardadas, registar as teclas pressionadas no teclado, permitir o acesso remoto e gravar vídeo e som através da câmara web e do microfone.
No caso de um dos bancos japoneses atacados, o malware foi capaz de ocultar as advertências do banco e injectar um script que permitiu aos cibercriminosos levar a cabo diversas operações utilizando a conta da vítima.

Recomendado pelos leitores

Commvault apresenta solução de recuperação quase instantânea de dados
SECURITY

Commvault apresenta solução de recuperação quase instantânea de dados

LER MAIS

Fortinet amplia oferta com novas soluções de segurança baseadas em IA generativa
SECURITY

Fortinet amplia oferta com novas soluções de segurança baseadas em IA generativa

LER MAIS

HP lança solução de segurança para PC empresariais
SECURITY

HP lança solução de segurança para PC empresariais

LER MAIS

IT CHANNEL Nº 113 DEZEMBRO 2024

IT CHANNEL Nº 113 DEZEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.