Novo trojan mira em bancos online de todo o planeta

Segurança

Um novo malware dirigido a sistemas de banco online e de seus clientes foi revelado pelos analistas de segurança da Kaspersky Lab. Identificado como uma evolução do Trojan ZeuS, Trojan-Banker.Win32.Chthonic, o Chthonic já afetou mais de 150 bancos diferentes e 20 sistemas de pagamento, em 15 países, e parece estar destinado principalmente a atacar instituições

Um novo malware dirigido a sistemas de banco online e de seus clientes foi revelado pelos analistas de segurança da Kaspersky Lab. Identificado como uma evolução do Trojan ZeuS, Trojan-Banker.Win32.Chthonic, o Chthonic já afetou mais de 150 bancos diferentes e 20 sistemas de pagamento, em 15 países, e parece estar destinado principalmente a atacar instituições financeiras do Reino Unido, Espanha, Estados Unidos, Rússia, Japão e Itália.

malware-virus-security-threat-e1389271089767

Apesar de o Chthonic ainda não ter sido detectado na América Latina, Dmitry Bestuzhev, Diretor da Equipe de Investigação e Análises da Kaspersky Lab América Latina, pensa que sua aparição na região é só uma questão de tempo. “Como já vimos antes com outras ameaças, antecipamos que o Chthonic chegará até nossa região por meio de cibercriminosos locais que adotam as técnicas ou compram as tecnologias dos que estão por trás deste malware para difundi-lo em nível regional. Estes esquemas de crime são muito populares em nossa região e inclusive, estão utilizando o mesmo trojan bancário ZeuS”, disse.

O Chthonic aproveita funções dos computadores com webcam e teclado para roubar credenciais de banco online, tais como senhas salvas. Os criminosos também podem se conectar ao computador de forma remota e controlá-lo para executar operações.

Contudo, a principal arma do Chthonic é a injeção via web. Isto permite ao Trojan inserir seu próprio código e imagens nas páginas do banco que são carregadas no navegador do computador, possibilitando aos criminosos obter o número de telefone da vítima, as senhas de uso único geradas por tokens e números PIN, bem como os detalhes de início de sessão e senhas introduzidas pelo usuário.

As vítimas são infectadas através de links da web ou arquivos anexos de e-mail que contém a extensão .DOC, a qual estabelece uma porta para a execução do código malicioso. O arquivo anexo contém um documento RTF desenvolvido especialmente para aproveitar a vulnerabilidade CVE-2014-1761 em produtos Microsoft Office.

Uma vez descarregado, o código malicioso que contém um arquivo de configuração cifrado se injeta no processo msiexec.exe instalando vários módulos maliciosos na máquina.

Até agora a Kaspersky Lab já descobriu módulos que podem recolher informações do sistema, roubar senhas salvas, registrar teclas pressionadas, permitir acesso remoto e gravar vídeo e som da webcam e do microfone, caso o computador tenha estas funções.

No caso de um dos bancos japoneses atacados, o malware é capaz de ocultar as advertências do banco e injetar, em troca, um script que permite aos atacantes realizar diversas transações utilizando a conta da vítima.

Os clientes atacados dos bancos russos são recebidos por páginas bancárias totalmente fraudulentas quando iniciam a sessão. Isto é possível poiso Trojan cria um iframe com uma cópia de phishing do website, com o mesmo tamanho da janela original.

Chthonic compartilha algumas semelhanças com outros Trojans. Utiliza o mesmo cifrador de download chamado Andrômeda, o mesmo esquema de cifrado que os Trojans ZeuS AES e Zeus V2, assim como uma máquina virtual similar à usada pelo ZeuSVM e no malware KINS.

De acordo com a Kaspersky, uitos fragmentos do código utilizado por Chthonic para realizar injeções web já não podem mais ser utilizados, já que os bancos mudaram as estruturas de suas páginas, em alguns casos, também os domínios.

“O descobrimento do Chthonic confirma que o Trojan ZeuS segue evoluindo. Os autores de malware estão fazendo pleno uso das técnicas mais modernas, auxiliados consideravelmente pela publicação do código fonte do ZeuS. Chthonic é a fase seguinte da evolução do ZeuS. Utiliza o cifrado do ZeuS AES, uma máquina virtual similar a utilizada por ZeuSVM e KINS, e o downloader Andrômeda – para atacar mais instituições financeiras e seus clientes inocentes de formas cada vez mais sofisticadas. Acreditamos que certamente aparecerão novas variantes do ZeuS no futuro, e nós continuaremos rastreando e analisando qualquer ameaça para nos mantermos um passo à frente dos cibercriminosos”, disse Yury Namestnikov, Analista Sênior de Malware da Kaspersky Lab e um dos investigadores que trabalhou na investigação da ameaça.


Clique para ler a bio do autor  Clique para fechar a bio do autor