Chthonic, il trojan che prende di mira i sistemi di banking online ed i loro clienti.


Si chiama Trojan-Banker.Win32.Chthonic, (o abbreviato Chthonic; da non confondere con l'omonima band melodic black metal taiwanese), e si tratta di un nuovo virus scoperto di recente dagli analisti di sicurezza di Kaspersky Lab, i quali l'hanno subito definito come "un'evoluzione del famigerato trojan ZeuS". In pratica finora questo nuovo virus ha creato problemi a più 150 banche e 20 sistemi di pagamento in 15 Paesi diversi e sembra che prenda maggiormente di mira le istituzioni finanziarie situate negli Stati Uniti, in Spagna, in Russia, in Giappone ed in Italia. In sostanza Chthonic sfrutta le funzioni del computer, (tra cui la webcam e la tastiera), per rubare le credenziali dei clienti del banking online; tra l'altro i criminali possono anche connettersi da remoto al computer e controllarlo per effettuare transazioni. Tuttavia le principali armi di Chthonic sono i cosiddetti "injector web" i quali permettono al trojan di inserire il suo codice e le sue immagini nelle pagine bancarie caricate dal browser del computer, consentendo così ai cybercriminali di ottenere il numero di telefono, le password temporanee ed i PIN, nonché tutti i dettagli del login e delle password inserite dall'utente. Ad ogni modo le vittime vengono infettate tramite link o documenti con estensione .DOC allegati a delle e-mail che una volta aperte installano una backdoor per il codice nocivo. Oltretutto l'allegato contiene un documento RTF creato appositamente per sfruttare la vulnerabilità CVE-2014-1761 legata ai prodotti Microsoft Office: una volta scaricato, il codice dannoso che contiene un file di configurazione criptato viene "iniettato" nel processo msiexec.exe e nel dispositivo vengono installati numerosi moduli nocivi. Comunque sia, come già anticipato, fino ad ora i responsabili di Kaspersky Lab sono riusciti a scoprire diversi moduli in grado di raccogliere informazioni di sistema, rubare le password salvate, registrare i tasti digitati, permettere l'accesso da remoto e registrare video e suoni tramite la webcam o il microfono, (qual'ora siano presenti). Inoltre è stato scoperto che nel caso di una delle banche giapponesi prese di mira, Chthonic è stato in grado di nascondere le notifiche della banca e installare uno script che permette agli hacker di effettuare diverse transazioni usando gli account delle vittime. Mentre i clienti delle banche russe colpite, non appena effettuano il login, vengono accolti da pagine di siti bancari falsi: in questo caso il trojan crea un iframe che copia la finestra originale del sito, mantenendo le stesse dimensioni. Ad ogni modo Chthonic risulta avere alcune peculiarità in comune con altri trojan: ad esempio, usa lo stesso encryptor e lo stesso downloader dei bot Andromeda, lo stesso schema di criptaggio dei Trojan Zeus AES e Zeus V2 ed una macchina virtuale simile a quella usata nei malware ZeusVM e KINS. Fortunatamente però molti frammenti di codice usati da Chthonic per effettuare le "iniezioni online" non possono più essere utilizzati in quanto le banche hanno cambiato la struttura delle loro pagine ed, in alcuni casi, anche i domini. Al riguardo Yury Namestnikov, Senior Security Researcher presso Kaspersky Lab, nonché ricercatore che ha effettuato un'indagine sulla minaccia, ha, infine, spiegato: "La scoperta di Chthonic conferma che il Trojan ZeuS si sta ancora evolvendo attivamente. I writer dei malware fanno ampio uso delle tecniche più recenti aiutati dalla diffusione del codice sorgente di ZeuS. Chthonic è l'evoluzione di ZeuS: usa il criptaggio di ZeuS AES, una macchina virtuale simile a quella usata da ZeusVM e KINS ed il downloader di Andromeda, per prendere di mira sempre più istituzioni finanziarie e clienti ignari con metodi sempre più sofisticati. Siamo sicuri che in futuro incontreremo nuove varianti di ZeuS e continueremo a registrare ed analizzare ogni minaccia per trovarci sempre un passo avanti rispetto ai cybercriminali".

Di seguito un messaggio d'esempio con exploit CVE-2014-1761:https://kasperskycontenthub.com/securelist/files/2014/12/Chthonic_1.jpg
...gli screenshot della pagina di una banca prima e dopo l'attacco:
https://kasperskycontenthub.com/securelist/files/2014/12/Chthonic_10.jpg
...una falsa finestra di inserimento TAN creata da Chthonic:
https://kasperskycontenthub.com/securelist/files/2014/12/Chthonic_12.jpg
...ed un grafico dei Paesi colpiti e la relativa distribuzione:
https://kasperskycontenthub.com/securelist/files/2014/12/Chthonic_16.jpg

Commenti