Chtonic använder Zeuss kodstruktur som bas, utveckla ytterligare särdrag
New Zeus Trojan bank programvara sprider sig i naturen nyligen. Dess konfigurationsfil verkar vara inriktade många europeiska länder, sålunda pekar som kan utsättas för 150 banker och 20 betalningssystem. Det skadliga programmet har setts främst i Storbritannien och Spanien, men infektioner har rapporterats i andra hovmän som Tyskland, Frankrike, Italien, Bulgarien och Irland också. Enligt forskare från Kaspersky Lab om, bland de mest drabbade länderna är Förenta staterna, Ryssland och Japan.
De mest utspridda metoder som ska infekteras med Chthonic är genom den ökända Andromeda botnet samt genom Microsoft Office sårbarhet (CVE-2014-1761) som canec tas emot av e-post som en specialdesignad RTF-fil. Filändelsen ändras till ”.doc” att se mindre misstänksam men.
kryptering
Den trojanska aktivitet har setts och beskrivs av Kaspersky Lab forskare i ett blogginlägg från förra veckan. De hävdar att den nya trojanska använder krypteringsmetoder från andra Zeus malware versioner samt från ZeusVM och Kins virtuella maskiner. En annan krypteringsmetod man använder är densamma som Andromeda botnet är ett, skapa ett botnät med samma namn samt.
Det skadliga programmet har kallats Chthonic och bygger på en ny modul laddningsmetod. Chthonic verkar infiltrera en huvudmodul i datorn som fortsätter att ladda ner sekundära dem efter aktivering. Samtliga moduler är krypterade med AES-specifikationen, och de flesta av modulerna är kompatibla med både 32 och 64-bitars system.
Den trojanska stjäl lösenord genom en ponny malware, registrerar viktiga dator aktiviteter (Keylogger) och injicerar maskiner genom skadliga webbplatser och VNC remote desktop programvara.
Brott
Med hjälp av en man-in-the-middle-tekniken Chthonic bryter mot systemet genom att ändra riktade databasen. Användare omdirigeras till en infekterad webbsida. Det skadliga programmet fortsätter sedan genom att stjäla användardata känsliga uppgifter som användarnamn, Lösenord, Pinkod, engångslösenord, etc. Bedrägeri meddelanden som kommer från den verkliga webbsidan håller automatiskt döljs.
I vissa attacker i Ryssland, Kaspersky Forskarna sade att det har upptäckt skadlig kod att förfalska hela innehållet på webbsidan av banken riktade och inte bara delar av den. Detta är inte något typiskt för dessa typer av attacker.
Även om många länder och banker riktade det verkar som det trojanska inte kan göra mycket skada. Eftersom Zeus malwares fungerar i flera år tillbaka många banker har förändrat strukturen på sina sidor eller hela sina domäner redan. Många av de kodfragment denna Trojan använder verkar vara ganska gammal.
Även om det inte kan göra mycket skada för tillfället, Zeus Trojan tycks fortfarande under utveckling. Många av de skadliga utvecklare utnyttjar det faktum att Zeuss källkoden har läckt ut och använder den som bas för att utveckla sina egna trojaner för attacker. Den nya - Chthonic - använder just detta som en bas för att ytterligare utveckla.