Naslednik bankarskog trojanca Zeus napada korisnike 150 banaka

Opisi virusa, 21.12.2014, 23:13 PM

Bankarski trojanac otkriven ove jeseni privukao je pažnju istraživača Kaspersky Laba kojima je novi malver bio zanimljiv pre svega zbog toga što koristi novu tehniku učitavanja modula, ali to nije bilo sve. Analiza njegovih konfiguracionih fajlova otkrila je istraživačima da malver cilja online sisteme 150 banaka i 20 platnih sistema u 15 zemalja. Banke u Velikoj Britaniji, SAD, Rusiji, Japanu i Italiji su pre svih ciljevi ovog malvera.

Novi bankarski malver je trojanac nazvan Chthonic, a istraživači kažu da je on po svemu sudeći naslednik malvera ZeusVM, iako se novi malver ipak značajno razlikuje od njega.

Chthonic koristi istu kriptografsku šemu kao Zeus AES i Zeus V2 trojanci, i virtuelnu mašinu sličnu onoj koju koriste malveri ZeusVM i KINS. Šta više, uočen je enkriptor koji je isti onaj koji je odgovoran za stvaranje bot mreže Andromeda.

Malver se širi slanjem emailova koji sadrže exploit, posebno kreirane RTF fajlove koji koriste bezbednosni propust CVE-2014-1761 u Microsoft Wordu koji je ispravljen u martu ove godine, ili tako što se malver preuzima na računare uz pomoć Andromeda pretnje (Backdoor.Win.32.Androm).

Chthonic koristi novu tehniku za učitavanje modula. To se postiže preko glavnog modula koji preuzima sve ostale komponente malvera a zatim počinje da ih učitava.

Analizirajući malver istraživači su primetili da je većina komponenti malvera kompatibilna i sa 32-bitnim i sa 64-bitnim platformama.

Prikupljanje informacije o sistemu, krađa lozinki sa računara pomoću malvera Pony, praćenje aktivnosti korisnika (keylogger), web injection, form grabbing, korišćenje zaraženog računara kao proxy servera, snimanje videa izvuka pomoću web kamere i mikrofona računara i daljinski pristup zaraženom računaru preko VNC-a koji obezbeđuje Chthonic su neke od mogućnosti koje imaju kriminalci koji koriste ovaj malver. Njegova modularna arhitektura omogućava sajber kriminalcima da proširuju funkcionalnost trojanca.

Ipak, glavna funkcionalnost malvera je mogućnost da krišom menja web sajtove banaka koje žrtve otvaraju na svojim računarima. Ova tehnika poznata koja se naziva web injection, se koristi za ubacivanje lažnih web formulara na sajtove banaka na kojima se od korisnika traže osetljivi podaci, kao što su podaci sa kreditne kartice ili kodovi za dvofaktornu verifikaciju.

U slučaju da se na učitanoj stranici pojavi upozorenje banke o pokušaju prevare, ono se automatski sakriva.

Istraživači Kaspersky Laba kažu da malver ne koristi samo jedna kriminalna grupa, već nekoliko njih.

Istraživači takođe napominju da se, uprkos tome što su u konfiguracionom fajlu brojni ciljevi, mnogi delovi koda koje koristi trojanac za web injection ne mogu više koristiti jer su banke promenile strukturu svojih stranica a u nekim slučajevima i domene.

Bankarski trojanac Zeus na čijem kodu je baziran i kod novog malvera pojavio se 2007. godine i ubrzo postao jedan od najpopularnijh alata među sajber kriminalcima, prvenstveno zbog toga što se prodavao na forumima sajber podzemlja. 2011. godine izvorni kod malvera Zeus je procurio na internetu pošto je glavni programer obustavio svoj rad na razvoju malvera i dao kod drugima. To je omogućilo drugim autorima malvera da modifikuju Zeus i prilagođavaju ga svojim potrebama, pa su se tako pojavili malveri kao što su Citadel, Ice IX, ZeusVM i Gameover Zeus, svi bazirani na kodu Zeusa.

Više detalja o ovom malveru možete naći na blogu kompanije Kaspersky Lab, Securelist.com.