Chthonic, la nueva cepa del troyano ZeuS

El llamado Trojan-Banker.Win32.Chthonic parece estar dirigido principalmente a instituciones financieras de Reino Unido, España, EE.UU, Rusia, Japón e Italia y explota las funciones del ordenador, como la cámara web o el teclado, para robar credenciales bancarias online. Los ciberdelincuentes también pueden conectarse al ordenador de forma remota y ordenarle que realice transacciones.

Los inyectores web que permiten al troyano insertar su propio código y las imágenes en las páginas de los bancos cargados por el navegador, son las principales armas del malware descubierto por Kaspersky Lab. Gracias a estas herramientas los atacantes pueden obtener datos como el número de teléfono de la víctima, contraseñas y números PIN.

Las víctimas reciben un correo electrónico con algún archivo adjunto, o enlaces web, que llevan una extensión .DOC, documento que a continuación dirige a un backdoor con código malicioso. El archivo adjunto contiene un documento RTF especialmente diseñado para explotar la vulnerabilidad CVE-2014-1761 en los productos de Microsoft Office.

Al ser descargado el código, un archivo de configuración cifrada se inyecta en el proceso msiexec.exe y una serie de módulos fraudulentos se instalan en la máquina. En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las advertencias del banco e inyectar un script que permite a los ciberdelincuentes llevar a cabo diversas operaciones utilizando la cuenta de la víctima. Por otro lado, los clientes afectados de los bancos rusos son dirigidos a páginas fraudulentas al iniciar la sesión, ya que el troyano crea un iframe con una copia phishing de la página web que tiene el mismo tamaño que la ventana original.

"Chthonic es la siguiente fase en la evolución de ZeuS. Se utiliza el cifrado AES Zeus, una máquina virtual similar a la utilizada por ZeusVM y KINS, y el programa de descarga de Andrómeda - para atacar cada vez más instituciones financieras y clientes inocentes en formas cada vez más sofisticadas. Creemos que, sin duda, veremos nuevas variantes de ZeuS en el futuro, y continuaremos rastreando y analizando toda amenaza para estar siempre un paso por delante de los ciberdelincuentes”, afirma Yury Namestnikov, Analista Senior de Malware de Kaspersky Lab y uno de los investigadores que trabajado en la investigación de la amenaza.

Afortunadamente, muchos fragmentos de código utilizados por Chthonic para realizar inyecciones web ya no pueden ser utilizados, porque los bancos han cambiado la estructura de sus páginas y en algunos casos, los dominios también.