Naslednik bankarskog trojanca Zeus napada korisnike 150 banaka

Opisi virusa, 21.12.2014, 23:13 PM

Naslednik bankarskog trojanca Zeus napada korisnike 150 banaka

Bankarski trojanac otkriven ove jeseni privukao je pažnju istraživača Kaspersky Laba kojima je novi malver bio zanimljiv pre svega zbog toga što koristi novu tehniku učitavanja modula, ali to nije bilo sve. Analiza njegovih konfiguracionih fajlova otkrila je istraživačima da malver cilja online sisteme 150 banaka i 20 platnih sistema u 15 zemalja. Banke u Velikoj Britaniji, SAD, Rusiji, Japanu i Italiji su pre svih ciljevi ovog malvera.

Novi bankarski malver je trojanac nazvan Chthonic, a istraživači kažu da je on po svemu sudeći naslednik malvera ZeusVM, iako se novi malver ipak značajno razlikuje od njega.

Chthonic koristi istu kriptografsku šemu kao Zeus AES i Zeus V2 trojanci, i virtuelnu mašinu sličnu onoj koju koriste malveri ZeusVM i KINS. Šta više, uočen je enkriptor koji je isti onaj koji je odgovoran za stvaranje bot mreže Andromeda.

Malver se širi slanjem emailova koji sadrže exploit, posebno kreirane RTF fajlove koji koriste bezbednosni propust CVE-2014-1761 u Microsoft Wordu koji je ispravljen u martu ove godine, ili tako što se malver preuzima na računare uz pomoć Andromeda pretnje (Backdoor.Win.32.Androm).

Chthonic koristi novu tehniku za učitavanje modula. To se postiže preko glavnog modula koji preuzima sve ostale komponente malvera a zatim počinje da ih učitava.

Analizirajući malver istraživači su primetili da je većina komponenti malvera kompatibilna i sa 32-bitnim i sa 64-bitnim platformama.

Prikupljanje informacije o sistemu, krađa lozinki sa računara pomoću malvera Pony, praćenje aktivnosti korisnika (keylogger), web injection, form grabbing, korišćenje zaraženog računara kao proxy servera, snimanje videa izvuka pomoću web kamere i mikrofona računara i daljinski pristup zaraženom računaru preko VNC-a koji obezbeđuje Chthonic su neke od mogućnosti koje imaju kriminalci koji koriste ovaj malver. Njegova modularna arhitektura omogućava sajber kriminalcima da proširuju funkcionalnost trojanca.

Ipak, glavna funkcionalnost malvera je mogućnost da krišom menja web sajtove banaka koje žrtve otvaraju na svojim računarima. Ova tehnika poznata koja se naziva web injection, se koristi za ubacivanje lažnih web formulara na sajtove banaka na kojima se od korisnika traže osetljivi podaci, kao što su podaci sa kreditne kartice ili kodovi za dvofaktornu verifikaciju.

U slučaju da se na učitanoj stranici pojavi upozorenje banke o pokušaju prevare, ono se automatski sakriva.

Istraživači Kaspersky Laba kažu da malver ne koristi samo jedna kriminalna grupa, već nekoliko njih.

Istraživači takođe napominju da se, uprkos tome što su u konfiguracionom fajlu brojni ciljevi, mnogi delovi koda koje koristi trojanac za web injection ne mogu više koristiti jer su banke promenile strukturu svojih stranica a u nekim slučajevima i domene.

Bankarski trojanac Zeus na čijem kodu je baziran i kod novog malvera pojavio se 2007. godine i ubrzo postao jedan od najpopularnijh alata među sajber kriminalcima, prvenstveno zbog toga što se prodavao na forumima sajber podzemlja. 2011. godine izvorni kod malvera Zeus je procurio na internetu pošto je glavni programer obustavio svoj rad na razvoju malvera i dao kod drugima. To je omogućilo drugim autorima malvera da modifikuju Zeus i prilagođavaju ga svojim potrebama, pa su se tako pojavili malveri kao što su Citadel, Ice IX, ZeusVM i Gameover Zeus, svi bazirani na kodu Zeusa.

Više detalja o ovom malveru možete naći na blogu kompanije Kaspersky Lab, Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje