I ricercatori di Kaspersky Lab hanno scoperto una nuova variante del famoso Trojan Zeus. Si chiama Chthonic, parola che nel mondo greco è stata al centro di numerosi dibattiti tenutosi da divinità e spriti, la cui traduzione approssimativa è “sotto la terra” o “sotterraneo”. Al di là del suo nome di battesimo, questo malware sta attaccando 150 banche e 20 sistemi di pagamenti in ben 15 paesi.
Zeus, come il nome stesso suggerisce, è il re dei malware bancari. Apparso per la prima volta nel 2007, questo malware ha creato fin da subito notevoli problemi agli account di banca online. Nel 2011, i suoi sviluppatori hanno gettato la spugna e hanno deciso di pubblicare il suo codice sorgente. Sembrava dunque che fosse arrivata la fine di Zeus, ma in realtà era piuttosto il contrario: la scoperta del codice sorgente di Zeus ha fatto che sì che i criminali diventassero più potenti e potessero creare un gran numero di varianti personalizzate, come GameOver e Zitmo, e un sacco di altre minacce.
Dopo aver infettato le macchine host, Chthonic raccoglie le informazioni di sistema, ruba password salvate, avvia keystroke (ovvero individua quello che viene digitato sulla tastiera), dà accesso remoto al computer a chi lo controlla ed ha anche la capacità di attivare la webcam e il registratore. Lo scopo è duplice: da un lato, rubare le credenziali di banca online e dall’altro, permettere ai criminali di prendere il controllo dei computer con il fine di realizzare anche transazioni fraudolente.
Come i suoi antenati, Chthonic utilizza tecniche di iniezioni web dannose per rimpiazzare l’interfaccia bancaria legittima con immagini personalizzate e codici. A questo punto gli ignari utenti inseriscono le proprie credenziali di banca online senza rendersi conto che la pagina di login della banca è stata rimpiazzata da un kit dannoso e che sotto c’è lo zampino di un malware. Un vantaggio di questo metodo è che i ladri-programmatori sono anche in grado di rubare i codici usa e getta, i codici sms, o qualsiasi altro elemento usato per l’autenticazione in due passaggi, nel momento in cui l’utente li inserisce nel loro browser infetto.
È emersa una nuova variante del trojan bancario Zeus e sta attaccando 150 banche in 15 paes
Tweet
Chthonic sta attaccando principalmente enti nel Regno Unito, Spagna, Stati Uniti, Russia, Giappone e Italia. In Giappone, il malware è riuscito ad evadere gli avvisi di sicurezza delle banche con uno script che permette agli hacker di realizzare transazioni sui conti degli utenti. In Russia, gli utenti infettati non possono nemmeno accedere al proprio sito di banca online perché Chthnic inietta un iframe che ridirige gli utenti a una pagina falsa – sebbene molto convincente – di phishing.
Tuttavia, prima che vengano prelevati soldi dalla banca, l’utente dovrebbe prima contrarre il malware Chthonic. Come nel caso di qualsiasi altro malware, Chthonic si infiltra dei computer delle vittima attraverso link dannosi e allegati mail. In altri casi, il virus scarica un .DOC dannoso nel computer della vittima. Quel documento contiene codici in rich text format che sfuttano una vulnerabilità di Microsoft Office attivando l’esecuzione di un codice remoto. Il malware non riesce a entrare sui dispositivi adeguatamente aggiornati. Gli utenti dei prodotti di sicurezza Kaspesky sono protetti da queste minacce.