Модифициран Zeus атакува стотици банки

Клиентите на над 150 банки по света са подложени на атака от модифицирана версия на троянеца Zeus

Клиентите на над 150 банки по света са подложени на атака от модифицирана версия на троянеца Zeus

Модификация на прочутия троянец Zeus атакува над 150 банки и 20 платежни системи, предимно в Европа. Зловредният софтуер, наречен Chthonic, разчита на нов метод за зареждане на своите модули.

Банковият троянец върлува най-вече във Великобритания и Испания, но са открити инфекции по компютри и в други европейски страни, вкл. Италия, Германия, Франция, България и Ирландия. Засегнати са също САЩ, Русия и Япония, сочи доклад на Лаборатория Касперски.

Chthonic се разпространява до жертвите с помощта на ботмрежата Andromeda и чрез използване на уязвимост CVE-2014-1761 в пакета Microsoft Office, през електронна поща. Троянецът комбинира схема за кодиране от други модификации на Zeus и виртуална машина от ZeusVM и KINS. Установено е, че се използва кодиращият механизъм от ботмрежата Andromeda.

Изглежда, че Chthonic прилага и нов метод за зареждане на зловредните модули. Главен модул сваля всички останали компоненти и след това ги зарежда. Кодирането се извършва чрез AES алгоритъм.

Банковият троянец върлува най-вече във Великобритания, Испания и САЩ, но са открити инфекции и в България

Банковият троянец върлува най-вече във Великобритания, Испания и САЩ, но са открити инфекции и в България

Анализирайки зловредния код, експертите са забелязали, че повечето зловредни компоненти са съвместими с 32- и 64-битови платформи. Chthonic е способен да събира системна информация, да краде пароли чрез Pony малуер, да записва компютърната активност, да извършва уеб инжекции и отдалечен достъп до компрометирани машини.

Троянецът разчита на техника, известна като „man-in-the-middle”, за да прихване комуникацията от клиента към банката и да модифицира уеб страницита, която се зарежда в браузъра. По този начин зловредният код успява да краде чувствителна информация като логини и пароли.

Ако същевременно банката издаде предупреждение, троянецът го скрива автоматично и потребителят не може да го види, установява още изследването на Лаборатория Касперски.

Chthonic е резултат от модифициране на кода на Zeus, изтекъл в някои нелегални форуми. Тази достъпност на зловредния код позволи на различни автори да създадат свои версии на банковия троянец.

Коментар