Más de 150 bancos y 20 sistemas de pago online diferentes en 15 países, ya han sido atacados por Trojan-Banker.Win32.Chthonic o Chthonic -la evolución del troyano ZeuS, uno de los más peligrosos-
Los créditos del descubrimiento de esta amenaza van para los analistas de seguridad de Kaspersky Lab, quienes además han registrado que –aparentemente- las emboscadas de Chthonic están dirigidas principalmente a instituciones financieras en el Reino Unido, España, Estados Unidos, Rusia, Japón e Italia.
Según han explicado fuentes de Kaspersky Lab, Chthonic es capaz de explotar las funciones del ordenador -incluyendo la cámara web y teclado- para robar credenciales bancarias online. “Los ciberdelincuentes también pueden conectarse al ordenador de forma remota y ordenarle que realice transacciones”, advirtieron los informantes.
Asimismo, se conoció que el arma principal de esta amenaza son los inyectores web que permiten al troyano insertar su propio código y las imágenes en las páginas de los bancos cargados por el navegador, con el fin de que los atacantes obtengan el número de teléfono de la víctima, contraseñas y PINs, así como los inicio de sesión introducidos por el usuario.
Chthonic comparte algunas similitudes con otros troyanos. Se utiliza el mismo cifrador y downloader como bots Andromeda, el mismo esquema de cifrado como AES Zeus y Zeus V2 troyanos, y una máquina virtual similar a la utilizada en ZeusVM y KINS malware.
En lo que respecta a cómo marcha Chthonic, los expertos revelaron que las víctimas se infectan a través de enlaces web o por archivos adjuntos en el correo electrónico que llevan una extensión .DOC, documento que a continuación dirige a un backdoor con código malicioso. El archivo adjunto contiene un documento RTF especialmente diseñado para explotar la vulnerabilidad CVE-2014-1761 en los productos de Microsoft Office.
“Una vez descargado el código, un archivo de configuración cifrada se inyecta en el proceso msiexec.exe y una serie de módulos maliciosos se instalan en la máquina. Hasta ahora Kaspersky Lab ha descubierto módulos que pueden recoger información del sistema, robar contraseñas guardadas, pulsaciones de teclado, permitir el acceso remoto, y grabar vídeo y sonido a través de la cámara web y el micrófono, si está presente”, ilustraron los de la líder en seguridad.
Apuntes de interés
Los expertos de Kaspersky advirtieron de otras excentricidades de esta amenaza, como, en el caso de uno de los bancos japoneses atacados, en el que el malware ha sido capaz de ocultar las advertencias de la institución e inyectar un script que permite a los ciberdelincuentes llevar a cabo diversas operaciones utilizando la cuenta de la víctima.
Y en lo que respecta a los bancos rusos, sus clientes son dirigidos a páginas bancarias fraudulentas nada más iniciar la sesión. Esto se consigue porque el troyano crea un iframe con una copia phishing de la página web que tiene el mismo tamaño que la ventana original.
“Afortunadamente, muchos fragmentos de código utilizados por Chthonic para realizar inyecciones web ya no pueden ser utilizados, porque los bancos han cambiado la estructura de sus páginas y en algunos casos, los dominios también”, destacaron los de Kaspersky.
Equipo de redacción de GizTab