|
Os analistas da Kaspersky Lab descobriram uma nova ameaça dirigida a sistemas de banca online e aos seus clientes. Identificado como uma evolução do Trojan ZeuS, o Trojan-Banker.Win32.Chthonic ou simplesmente Chthonic já atacou mais de 150 bancos e 20 sistemas de pagamento online diferentes em 15 países. Parece dirigir-se principalmente a instituições financeiras do Reino Unido, Espanha, EUA, Rússia, Japão e Itália.
"A descoberta do Chthonic confirma que o Trojan ZeuS continua a evoluir activamente. Os criadores de malware estão a fazer pleno uso das últimas técnicas, ajudados consideravelmente pela fuga do código fonte do ZeuS. O Chthonic é a fase seguinte na evolução do ZeuS. Utiliza a encriptação do AES Zeus, uma máquina virtual similar à utilizada pelo ZeusVM e KINS, e o programa de descarga do Andrómeda - para atacar cada vez mais instituições financeiras e clientes inocentes de formas cada vez mais sofisticadas. Acreditamos que, sem dúvida, veremos novas variantes do ZeuS no futuro, e continuaremos a rastrear e a analisar toda a ameaça para estar sempre um passo à frente dos cibercriminosos", afirma Yury Namestnikov, Analista Sénior de Malware da Kaspersky Lab e um dos investigadores que participou na investigação e descoberta desta ameaça.
Apesar de atacar a câmara web e o teclado, a arma principal do Chthonic são os injectores web que permitem ao Trojan inserir o seu próprio código e as imagens nas páginas dos bancos carregadas pelo browser, com o objectivo de permitir aos atacantes obterem o número de telefone da vítima, passwords e PINs, assim como os inícios de sessão introduzidos pelo utilizador.
As vítimas são infectadas através de links web ou de ficheiros anexos no correio electrónico que têm uma extensão .DOC, documento que depois direcciona para um backdoor com código malicioso. O ficheiro anexo contém um documento RTF especialmente concebido para explorar a vulnerabilidade CVE-2014-1761 nos produtos do Microsoft Office.
Uma vez descarregado o código, um ficheiro de configuração encriptado é injectado no processo msiexec.exe e uma série de módulos maliciosos é instalada na máquina. Até agora, a Kaspersky Lab já descobriu módulos que podem recolher informação do sistema, roubar passwords guardadas, registar as teclas pressionadas no teclado, permitir o acesso remoto e gravar vídeo e som através da câmara web e do microfone.
No caso de um dos bancos japoneses atacados, o malware foi capaz de ocultar as advertências do banco e injectar um script que permitiu aos cibercriminosos levar a cabo diversas operações utilizando a conta da vítima. |
