Naslednik bankarskog trojanca Zeus napada korisnike 150 banaka

Opisi virusa, 21.12.2014, 23:13 PM

Naslednik bankarskog trojanca Zeus napada korisnike 150 banaka

Bankarski trojanac otkriven ove jeseni privukao je pažnju istraživača Kaspersky Laba kojima je novi malver bio zanimljiv pre svega zbog toga što koristi novu tehniku učitavanja modula, ali to nije bilo sve. Analiza njegovih konfiguracionih fajlova otkrila je istraživačima da malver cilja online sisteme 150 banaka i 20 platnih sistema u 15 zemalja. Banke u Velikoj Britaniji, SAD, Rusiji, Japanu i Italiji su pre svih ciljevi ovog malvera.

Novi bankarski malver je trojanac nazvan Chthonic, a istraživači kažu da je on po svemu sudeći naslednik malvera ZeusVM, iako se novi malver ipak značajno razlikuje od njega.

Chthonic koristi istu kriptografsku šemu kao Zeus AES i Zeus V2 trojanci, i virtuelnu mašinu sličnu onoj koju koriste malveri ZeusVM i KINS. Šta više, uočen je enkriptor koji je isti onaj koji je odgovoran za stvaranje bot mreže Andromeda.

Malver se širi slanjem emailova koji sadrže exploit, posebno kreirane RTF fajlove koji koriste bezbednosni propust CVE-2014-1761 u Microsoft Wordu koji je ispravljen u martu ove godine, ili tako što se malver preuzima na računare uz pomoć Andromeda pretnje (Backdoor.Win.32.Androm).

Chthonic koristi novu tehniku za učitavanje modula. To se postiže preko glavnog modula koji preuzima sve ostale komponente malvera a zatim počinje da ih učitava.

Analizirajući malver istraživači su primetili da je većina komponenti malvera kompatibilna i sa 32-bitnim i sa 64-bitnim platformama.

Prikupljanje informacije o sistemu, krađa lozinki sa računara pomoću malvera Pony, praćenje aktivnosti korisnika (keylogger), web injection, form grabbing, korišćenje zaraženog računara kao proxy servera, snimanje videa izvuka pomoću web kamere i mikrofona računara i daljinski pristup zaraženom računaru preko VNC-a koji obezbeđuje Chthonic su neke od mogućnosti koje imaju kriminalci koji koriste ovaj malver. Njegova modularna arhitektura omogućava sajber kriminalcima da proširuju funkcionalnost trojanca.

Ipak, glavna funkcionalnost malvera je mogućnost da krišom menja web sajtove banaka koje žrtve otvaraju na svojim računarima. Ova tehnika poznata koja se naziva web injection, se koristi za ubacivanje lažnih web formulara na sajtove banaka na kojima se od korisnika traže osetljivi podaci, kao što su podaci sa kreditne kartice ili kodovi za dvofaktornu verifikaciju.

U slučaju da se na učitanoj stranici pojavi upozorenje banke o pokušaju prevare, ono se automatski sakriva.

Istraživači Kaspersky Laba kažu da malver ne koristi samo jedna kriminalna grupa, već nekoliko njih.

Istraživači takođe napominju da se, uprkos tome što su u konfiguracionom fajlu brojni ciljevi, mnogi delovi koda koje koristi trojanac za web injection ne mogu više koristiti jer su banke promenile strukturu svojih stranica a u nekim slučajevima i domene.

Bankarski trojanac Zeus na čijem kodu je baziran i kod novog malvera pojavio se 2007. godine i ubrzo postao jedan od najpopularnijh alata među sajber kriminalcima, prvenstveno zbog toga što se prodavao na forumima sajber podzemlja. 2011. godine izvorni kod malvera Zeus je procurio na internetu pošto je glavni programer obustavio svoj rad na razvoju malvera i dao kod drugima. To je omogućilo drugim autorima malvera da modifikuju Zeus i prilagođavaju ga svojim potrebama, pa su se tako pojavili malveri kao što su Citadel, Ice IX, ZeusVM i Gameover Zeus, svi bazirani na kodu Zeusa.

Više detalja o ovom malveru možete naći na blogu kompanije Kaspersky Lab, Securelist.com.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje