Chtonic utilise la structure du code Zeuss comme base, développer de nouvelles fonctionnalités
Nouveau logiciel bancaire cheval de Troie Zeus se répand dans la nature récemment. Son fichier de configuration semble cibler de nombreux pays européens, pointant ainsi potentiellement à 150 banques et 20 systèmes de paiement. Le malware a été repéré principalement en Royaume-Uni et l'Espagne, mais les infections ont été signalés dans d'autres courtisans comme Allemagne, France, Italie, Bulgarie et l'Irlande aussi. Selon les chercheurs de Kaspersky Lab si, parmi les pays les plus touchés sont les Etats-Unis, Russie et le Japon.
Les méthodes les plus étalées d'être infectées par Chthonic est par le botnet Andromeda infâme ainsi que par la vulnérabilité Microsoft Office (CVE-2014-1761) qui CANEC être reçu par la poste dans un fichier RTF spécialement conçu. L'extension du fichier est changé en ".doc" à paraître moins suspecte si.
Chiffrement
L'activité de Troie a été repéré et décrit par les chercheurs de Kaspersky Lab dans un billet de blog de la semaine dernière. Ils affirment que le nouveau cheval de Troie utilise des méthodes d'autres versions de logiciels malveillants Zeus ainsi que de machines virtuelles ZeusVM et Kins cryptage. Une autre méthode de cryptage qu'il utilise est le même que celui de l'botnet Andromeda, la création d'un réseau de zombies avec le même nom ainsi.
Le malware a été appelé Chthonic et est basée sur une nouvelle méthode module de chargement. Chthonic semble se infiltrer dans un module principal dans l'ordinateur qui continue de télécharger les secondaires après l'activation. Tous les modules sont cryptées avec AES spécification, et la plupart des modules sont compatibles à la fois avec 32 et les systèmes 64 bits.
Le cheval de Troie vole les mots de passe par un malware Poney, enregistre activités informatiques clés (Keylogger) et injecte machines par le biais des sites Web malveillants et des logiciels de bureau à distance VNC.
Violer
L'utilisation d'un man-in-the-middle technique Chthonic viole le système en modifiant la base de données ciblée. Les utilisateurs sont redirigés vers une page Web infectée. Le malware se poursuit ensuite par le vol de données sensibles de l'utilisateur comme nom d'utilisateur, mot de passe, Code secret, one-time password, etc. messages de fraude provenant de la véritable page web sont automatiquement masquées.
Dans certaines attaques en Russie, Les chercheurs de Kaspersky dit qu'il a été repéré le malware d'usurper l'ensemble du contenu de la page web de la banque ciblée et non seulement des parties de celui-ci. Ce ne est pas quelque chose de typique pour ces types d'attaques.
Bien que de nombreux pays et les banques ciblées il semble que le cheval de Troie ne peut pas faire beaucoup de mal. Comme malwares Zeus fonctionnent depuis plusieurs années de nombreuses banques ont modifié la structure de leurs pages ou la totalité de leurs domaines déjà. Beaucoup de fragments de code ce cheval de Troie utilise semble être assez vieux.
Bien qu'il ne peut pas faire beaucoup de mal pour l'instant, Cheval de Troie Zeus semble être encore en évolution. Beaucoup de développeurs de logiciels malveillants profitent du fait que le code source de Zeus a été divulgué et l'utilisent comme une base pour développer leurs propres chevaux de Troie pour les attaques. Le nouveau - Chthonic - utilise exactement cela comme une base pour évoluer.