Chtonic bruker Zeuss kodestruktur som base, utvikle ytterligere funksjoner
Nye Zeus Trojan bank programvare sprer i naturen nylig. Konfigurasjonsfilen ser ut til å være rettet mot mange europeiske land, og dermed peker potensielt 150 banker og 20 betalingssystemer. Den malware har blitt sett det meste i Storbritannia og Spania, men infeksjoner har blitt rapportert i andre hoffmenn som Tyskland, Frankrike, Italia, Bulgaria og Irland så vel. Ifølge forskere fra Kaspersky Lab skjønt, blant de mest berørte landene er USA, Russland og Japan.
De mest spredt ut metoder for å bli smittet med chthonic er gjennom den beryktede Andromeda botnet samt gjennom Microsoft Office sårbarhet (CVE-2014-1761) som canec bli mottatt i posten som en spesialdesignet RTF-fil. Filtypen er endret til ".doc" å se mindre mistenkelig om.
Kryptering
Den trojanske aktiviteten har blitt oppdaget og beskrevet av Kaspersky Lab forskere i et blogginnlegg fra forrige uke. De sier at den nye trojaneren bruker krypteringsmetoder fra andre Zeus malware versjoner samt fra ZeusVM og aller nærmeste virtuelle maskiner. En annen krypteringsmetode den bruker er det samme som Andromeda botnet er en, skape et botnet med samme navn, så vel.
Den malware har blitt kalt chthonic og er basert på en ny modul ileggingsmetode. Chthonic synes å infiltrere en hovedmodul i datamaskinen som fortsetter å laste ned sekundære seg etter aktivering. Alle modulene er kryptert med AES-spesifikasjonen, og de fleste av modulene er kompatibel med både 32 og 64-bits systemer.
Den trojanske stjeler passord gjennom en Pony malware, registrerer nøkkeldatatjenester (Keylogger) og injiserer maskiner gjennom ondsinnede nettsteder og VNC remote desktop programvare.
Breach
Ved hjelp av en man-in-the-middle teknikk chthonic bryter systemet ved å endre målrettet database. Brukere blir omdirigert til en infisert nettside. Den malware fortsetter deretter ved å stjele bruker sensitive data som brukernavn, passord, PIN-kode, engangspassord, etc. Svindel meldinger som kommer fra den virkelige nettsiden blir automatisk skjult.
I noen angrep i Russland, Kaspersky Forskerne sier at det har blitt oppdaget malware å forfalske hele innholdet på nettsiden til banken målrettet og ikke bare deler av den. Dette er ikke noe typisk for denne type angrep.
Selv om mange land og banker målrettet virker det som den trojanske ikke kan gjøre mye skade. Som Zeus malwares fungerer for flere år tilbake mange banker har endret strukturen i sine sider eller hele sin domener allerede. Mange av kodefragmenter denne trojaneren bruker ser ut til å være ganske gammel.
Selv om det ikke kan gjøre mye skade i øyeblikket, Zeus Trojan ser ut til å være fortsatt i utvikling. Mange av malware utviklere utnytter det faktum at Zeuss kode kilden har blitt lekket, og bruker det som en base for å utvikle sine egne trojanere for angrep. Det nye - chthonic - bruker akkurat dette som en base for å ytterligere utvikle seg.