Модификация на прочутия троянец Zeus атакува над 150 банки и 20 платежни системи, предимно в Европа. Зловредният софтуер, наречен Chthonic, разчита на нов метод за зареждане на своите модули.
Банковият троянец върлува най-вече във Великобритания и Испания, но са открити инфекции по компютри и в други европейски страни, вкл. Италия, Германия, Франция, България и Ирландия. Засегнати са също САЩ, Русия и Япония, сочи доклад на Лаборатория Касперски.
Chthonic се разпространява до жертвите с помощта на ботмрежата Andromeda и чрез използване на уязвимост CVE-2014-1761 в пакета Microsoft Office, през електронна поща. Троянецът комбинира схема за кодиране от други модификации на Zeus и виртуална машина от ZeusVM и KINS. Установено е, че се използва кодиращият механизъм от ботмрежата Andromeda.
Изглежда, че Chthonic прилага и нов метод за зареждане на зловредните модули. Главен модул сваля всички останали компоненти и след това ги зарежда. Кодирането се извършва чрез AES алгоритъм.
Анализирайки зловредния код, експертите са забелязали, че повечето зловредни компоненти са съвместими с 32- и 64-битови платформи. Chthonic е способен да събира системна информация, да краде пароли чрез Pony малуер, да записва компютърната активност, да извършва уеб инжекции и отдалечен достъп до компрометирани машини.
Троянецът разчита на техника, известна като „man-in-the-middle”, за да прихване комуникацията от клиента към банката и да модифицира уеб страницита, която се зарежда в браузъра. По този начин зловредният код успява да краде чувствителна информация като логини и пароли.
Ако същевременно банката издаде предупреждение, троянецът го скрива автоматично и потребителят не може да го види, установява още изследването на Лаборатория Касперски.
Chthonic е резултат от модифициране на кода на Zeus, изтекъл в някои нелегални форуми. Тази достъпност на зловредния код позволи на различни автори да създадат свои версии на банковия троянец.