Os analistas de segurança da Kaspersky Lab descobriram uma nova ameaça dirigida a sistemas de banca online e aos seus clientes. Identificado como uma evolução do Trojan ZeuS, o Trojan-Banker.Win32.Chthonic ou simplesmente Chthonic já atacou mais de 150 bancos e 20 sistemas de pagamento online diferentes em 15 países. Parece dirigir-se principalmente a instituições financeiras do Reino Unido, Espanha, EUA, Rússia, Japão e Itália.

O Chthonic explora as funções do computador, incluindo a câmara web e o teclado para roubar credenciais bancárias online. Os cibercriminosos também podem ligar-se ao computador de forma remota e ordenar-lhe que realize transacções.

A arma principal do Chthonic, no entanto, são os injectores web que permitem ao Trojan inserir o seu próprio código e as imagens nas páginas dos bancos carregadas pelo browser, com o objectivo de permitir aos atacantes obterem o número de telefone da vítima, passwords e PINs, assim como os inícios de sessão introduzidos pelo utilizador.

As vítimas são infectadas através de links web ou de ficheiros anexos no correio electrónico que têm uma extensão .DOC, documento que depois direcciona para um backdoor com código malicioso. O ficheiro anexo contém um documento RTF especialmente concebido para explorar a vulnerabilidade CVE-2014-1761 nos produtos do Microsoft Office.

Uma vez descarregado o código, um ficheiro de configuração encriptado é injectado no processo msiexec.exe e uma série de módulos maliciosos é instalada na máquina. Até agora, a Kaspersky Lab já descobriu módulos que podem recolher informação do sistema, roubar passwords guardadas, registar as teclas pressionadas no teclado, permitir o acesso remoto e gravar vídeo e som através da câmara web e do microfone.

No caso de um dos bancos japoneses atacados, o malware foi capaz de ocultar as advertências do banco e injectar um script que permitiu aos cibercriminosos levar a cabo diversas operações utilizando a conta da vítima.

Os clientes afectados dos bancos russos eram, por seu turno, direccionados para páginas bancárias fraudulentas logo após iniciarem sessão. Isto torna-se possível porque o Trojan cria um iframe com uma cópia phishing da página web que tem o mesmo tamanho que a janela original.

O Chthonic partilha algumas semelhanças com outros Trojans. Utiliza o mesmo encriptador e downloader dos bots Andromeda, o mesmo esquema de encriptação do AES Zeus e Zeus V2 e uma máquina virtual similar à utilizada no ZeusVM e KINS malware.

Felizmente, muitos fragmentos de código utilizados pelo Chthonic para realizar injecções web já não podem ser utilizados, porque os bancos alteraram a estrutura das suas páginas e, em alguns casos, os domínios também.

“A descoberta do Chthonic confirma que o Trojan ZeuS continua a evoluir activamente. Os criadores de malware estão a fazer pleno uso das últimas técnicas, ajudados consideravelmente pela fuga do código fonte do ZeuS. O Chthonic é a fase seguinte na evolução do ZeuS. Utiliza a encriptação do AES Zeus, uma máquina virtual similar à utilizada pelo ZeusVM e KINS, e o programa de descarga do Andrómeda – para atacar cada vez mais instituições financeiras e clientes inocentes de formas cada vez mais sofisticadas. Acreditamos que, sem dúvida, veremos novas variantes do ZeuS no futuro, e continuaremos a rastrear e a analisar toda a ameaça para estar sempre um passo à frente dos cibercriminosos“, afirma Yury Namestnikov, Analista Sénior de Malware da Kaspersky Lab e um dos investigadores que participou na investigação e descoberta desta ameaça.