Ctonio sta usando la struttura del codice Zeuss come base, sviluppo di ulteriori funzionalità
Nuovo software bancario Zeus Trojan si sta diffondendo in natura di recente. Il file di configurazione sembra essere il targeting molti paesi europei, indicando quindi potenzialmente a 150 banche e 20 sistemi di pagamento. Il malware è stato avvistato soprattutto in Gran Bretagna e in Spagna, ma le infezioni sono state segnalate in altri cortigiani come Germania, Francia, Italia, La Bulgaria e l'Irlanda anche. Secondo i ricercatori di Kaspersky Lab però, tra i paesi più colpiti sono il Stati Uniti, Russia e Giappone.
I metodi più sparsi per essere infettati con Chthonic è attraverso il famigerato Andromeda botnet, nonché attraverso la vulnerabilità di Microsoft Office (CVE-2014-1761) che canec essere ricevuti per posta come un file RTF appositamente progettato. L'estensione del file viene modificato in ".doc" di guardare meno sospetto però.
Crittografia
L'attività di Trojan è stato avvistato e descritto da ricercatori di Kaspersky Lab in un post sul blog della scorsa settimana. Essi affermano che il nuovo Trojan utilizza metodi di crittografia da altre versioni di malware Zeus, nonché da ZeusVM e Kins macchine virtuali. Un altro metodo di crittografia che utilizza è la stessa di quella della botnet Andromeda, la creazione di una botnet con lo stesso nome e.
Il malware è stato chiamato Chthonic e si basa su un nuovo metodo di caricamento del modulo. Ctonio sembra infiltrarsi in un modulo principale nel computer che continua a scaricare quelle secondarie dopo l'attivazione. Tutti i moduli sono criptati con AES specifica, e la maggior parte dei moduli sono compatibili con entrambi 32 e sistemi 64-bit.
Il Trojan ruba le password tramite una di malware Pony, registra le attività del computer chiave (Keylogger) e inietta macchine attraverso i siti web dannosi e software desktop remoto VNC.
Violazione
Utilizzando un man-in-the-middle tecnica Chthonic viola il sistema modificando il database mirati. Gli utenti vengono reindirizzati a una pagina web infetta. Il malware continua poi rubando i dati sensibili degli utenti, come il nome utente, password, PIN, one-time password, ecc. Messaggi frode provenienti dalla pagina web vera vengono nascoste automaticamente.
In alcuni attacchi in Russia, I ricercatori di Kaspersky hanno detto che è stato avvistato il malware di falsificare l'intero contenuto della pagina web della banca mirati e non solo parti di esso. Questo non è qualcosa tipico per questi tipi di attacchi.
Anche se molti paesi e banche mirati sembra che il Trojan non può fare molto male. Come malware Zeus funzionano per diversi anni fa molte banche hanno modificato la struttura delle loro pagine o interi loro domini già. Molti dei frammenti di codice questo Trojan utilizza sembrano essere piuttosto vecchio.
Anche se non può fare molto male in questo momento, Trojan Zeus sembra essere ancora in evoluzione. Molti degli sviluppatori di malware stanno approfittando del fatto che il codice sorgente Zeuss è trapelato e lo usano come base per sviluppare le proprie Trojan per gli attacchi. Il nuovo - Chthonic - sta usando proprio questo come base per evolvere ulteriormente.