Naslednik bankarskog trojanca Zeus napada korisnike 150 banaka

Opisi virusa, 21.12.2014, 23:13 PM

Naslednik bankarskog trojanca Zeus napada korisnike 150 banaka

Bankarski trojanac otkriven ove jeseni privukao je pažnju istraživača Kaspersky Laba kojima je novi malver bio zanimljiv pre svega zbog toga što koristi novu tehniku učitavanja modula, ali to nije bilo sve. Analiza njegovih konfiguracionih fajlova otkrila je istraživačima da malver cilja online sisteme 150 banaka i 20 platnih sistema u 15 zemalja. Banke u Velikoj Britaniji, SAD, Rusiji, Japanu i Italiji su pre svih ciljevi ovog malvera.

Novi bankarski malver je trojanac nazvan Chthonic, a istraživači kažu da je on po svemu sudeći naslednik malvera ZeusVM, iako se novi malver ipak značajno razlikuje od njega.

Chthonic koristi istu kriptografsku šemu kao Zeus AES i Zeus V2 trojanci, i virtuelnu mašinu sličnu onoj koju koriste malveri ZeusVM i KINS. Šta više, uočen je enkriptor koji je isti onaj koji je odgovoran za stvaranje bot mreže Andromeda.

Malver se širi slanjem emailova koji sadrže exploit, posebno kreirane RTF fajlove koji koriste bezbednosni propust CVE-2014-1761 u Microsoft Wordu koji je ispravljen u martu ove godine, ili tako što se malver preuzima na računare uz pomoć Andromeda pretnje (Backdoor.Win.32.Androm).

Chthonic koristi novu tehniku za učitavanje modula. To se postiže preko glavnog modula koji preuzima sve ostale komponente malvera a zatim počinje da ih učitava.

Analizirajući malver istraživači su primetili da je većina komponenti malvera kompatibilna i sa 32-bitnim i sa 64-bitnim platformama.

Prikupljanje informacije o sistemu, krađa lozinki sa računara pomoću malvera Pony, praćenje aktivnosti korisnika (keylogger), web injection, form grabbing, korišćenje zaraženog računara kao proxy servera, snimanje videa izvuka pomoću web kamere i mikrofona računara i daljinski pristup zaraženom računaru preko VNC-a koji obezbeđuje Chthonic su neke od mogućnosti koje imaju kriminalci koji koriste ovaj malver. Njegova modularna arhitektura omogućava sajber kriminalcima da proširuju funkcionalnost trojanca.

Ipak, glavna funkcionalnost malvera je mogućnost da krišom menja web sajtove banaka koje žrtve otvaraju na svojim računarima. Ova tehnika poznata koja se naziva web injection, se koristi za ubacivanje lažnih web formulara na sajtove banaka na kojima se od korisnika traže osetljivi podaci, kao što su podaci sa kreditne kartice ili kodovi za dvofaktornu verifikaciju.

U slučaju da se na učitanoj stranici pojavi upozorenje banke o pokušaju prevare, ono se automatski sakriva.

Istraživači Kaspersky Laba kažu da malver ne koristi samo jedna kriminalna grupa, već nekoliko njih.

Istraživači takođe napominju da se, uprkos tome što su u konfiguracionom fajlu brojni ciljevi, mnogi delovi koda koje koristi trojanac za web injection ne mogu više koristiti jer su banke promenile strukturu svojih stranica a u nekim slučajevima i domene.

Bankarski trojanac Zeus na čijem kodu je baziran i kod novog malvera pojavio se 2007. godine i ubrzo postao jedan od najpopularnijh alata među sajber kriminalcima, prvenstveno zbog toga što se prodavao na forumima sajber podzemlja. 2011. godine izvorni kod malvera Zeus je procurio na internetu pošto je glavni programer obustavio svoj rad na razvoju malvera i dao kod drugima. To je omogućilo drugim autorima malvera da modifikuju Zeus i prilagođavaju ga svojim potrebama, pa su se tako pojavili malveri kao što su Citadel, Ice IX, ZeusVM i Gameover Zeus, svi bazirani na kodu Zeusa.

Više detalja o ovom malveru možete naći na blogu kompanije Kaspersky Lab, Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje