Los analistas de seguridad de Kaspersky Lab han descubierto una nueva amenaza dirigida a sistemas de banca online y a sus clientes. Identificado como una evolución del troyano ZeuS, Trojan-Banker.Win32.Chthonic o Chthonic para abreviar, ha atacado más de 150 bancos y 20 sistemas de pago online diferentes en 15 países. Parece estar dirigido principalmente a instituciones financieras en el Reino Unido, España, EE.UU., Rusia, Japón e Italia.
Chthonic explota las funciones del ordenador, incluyendo la cámara web y teclado para robar credenciales bancarias online. Los ciberdelincuentes también pueden conectarse al ordenador de forma remota y ordenarle que realice transacciones.
El arma principal de Chthonic, sin embargo, son los inyectores web que permiten al troyano insertar su propio código y las imágenes en las páginas de los bancos cargados por el navegador, con el fin de que los atacantes obtengan el número de teléfono de la víctima, contraseñas y PINs, así como los inicio de sesión introducidos por el usuario.
Las víctimas se infectan a través de enlaces web o por archivos adjuntos en el correo electrónico que llevan una extensión .DOC, documento que a continuación dirige a un backdoor con código malicioso. El archivo adjunto contiene un documento RTF especialmente diseñado para explotar la vulnerabilidad CVE-2014-1761 en los productos de Microsoft Office.
Una vez descargado el código, un archivo de configuración cifrada se inyecta en el proceso msiexec.exe y una serie de módulos maliciosos se instalan en la máquina. Hasta ahora Kaspersky Lab ha descubierto módulos que pueden recoger información del sistema, robar contraseñas guardadas, pulsaciones de teclado, permitir el acceso remoto, y grabar vídeo y sonido a través de la cámara web y el micrófono, si está presente.
En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las advertencias del banco e inyectar un script que permite a los ciberdelincuentes llevar a cabo diversas operaciones utilizando la cuenta de la víctima. Mientras que los clientes afectados de los bancos rusos son dirigidos a páginas bancarias fraudulentas nada más iniciar la sesión. Esto se consigue porque el troyano crea un iframe con una copia phishing de la página web que tiene el mismo tamaño que la ventana original.
Similitudes con otros troyanos
Se utiliza el mismo cifrador y downloader como bots Andrómeda, el mismo esquema de cifrado como AES Zeus y Zeus V2 troyanos, y una máquina virtual similar a la utilizada en ZeusVM y KINS malware.
Afortunadamente, muchos fragmentos de código utilizados por Chthonic para realizar inyecciones web ya no pueden ser utilizados, porque los bancos han cambiado la estructura de sus páginas y en algunos casos, los dominios también.
«El descubrimiento de Chthonic confirma que el troyano ZeuS sigue evolucionando activamente. Los creadores de malware están haciendo pleno uso de las últimas técnicas, ayudados considerablemente por la fuga del código fuente de ZeuS. Chthonic es la siguiente fase en la evolución de ZeuS. Se utiliza el cifrado AES Zeus, una máquina virtual similar a la utilizada por ZeusVM y KINS, y el programa de descarga de Andrómeda para atacar cada vez más instituciones financieras y clientes inocentes en formas cada vez más sofisticadas. Creemos que, sin duda, veremos nuevas variantes de ZeuS en el futuro, y continuaremos rastreando y analizando toda amenaza para estar siempre un paso por delante de los ciberdelincuentes», afirmaba Yury Namestnikov, analista senior de malware de Kaspersky Lab y uno de los investigadores que trabajado en la investigación de la amenaza.
