Una evolución del troyano Zeus (Trojan-Banker.Win32.Chthonic), conocido como Chthonic ha afectado a más de 150 bancos y 20 sistemas de pagos en diferentes países, según un reciente informe de Kaspersky Lab.
Se sospecha que su objetivo es atacar a instituciones financieras en el Reino Unido, España, Estados Unidos, Rusia, Japón e Italia.
Aunque Chthonic no ha sido detectado aún en Latinoamérica, se espera que solo sea cuestión de tiempo. “Como lo hemos visto antes con otras amenazas, anticipamos que Chthonic se expandirá hacia nuestra región pero de la mano de cibercriminales locales que adoptarán las técnicas o comprarán las tecnologías de los que están detrás de este malware para difundirlo a nivel regional. Dichos esquemas de delinquir son muy populares en nuestra región e inclusive, se han utilizado hasta con el mismo troyano bancario Zeus”, indicó Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina.
De acuerdo al informe, Chthonic aprovecha funciones de las computadoras como la cámara web y el teclado para robar credenciales bancarias en línea tales como contraseñas guardadas.
Los atacantes también pueden conectarse a la computadora de forma remota y ordenarle que lleve a cabo las transacciones. Sin embargo, el arma principal de Chthonic es la inyección vía web. Esto permite al troyano insertar su propio código e imágenes en las páginas del banco que carga el navegador de la computadora, lo que le permite a los atacantes obtener el número de teléfono de la víctima, las contraseñas de un solo uso y números PIN, así como los detalles de inicio de sesión y contraseña introducidos por el usuario.
Indica el informe de Kaspersky Lab: “Las víctimas se infectan a través de enlaces web o archivos adjuntos de correo electrónico que contienen un documento con la extensión .DOC el cual establece una "puerta trasera" para el código malicioso. El archivo adjunto contiene un documento RTF especialmente diseñado para aprovechar la vulnerabilidad CVE-2014-1761 en productos de Microsoft Office”.
Una vez descargado, el código malicioso que contiene un archivo de configuración cifrado se inyecta en el proceso msiexec.exe y se instalan varios módulos maliciosos en la máquina.
En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las advertencias del banco e inyectar, en cambio, un script que permite a los atacantes realizar diversas transacciones utilizando la cuenta de la víctima.
Los clientes afectados de los bancos rusos son recibidos por páginas bancarias totalmente fraudulentas tan pronto como inician la sesión. Esto se logra mediante el troyano que crea un iframe con una copia de phishing del sitio web que tiene el mismo tamaño que la ventana original.