Chthonic, сын ZeuS: новое испытание для банков

Бизнес

Новая вредоносная программа пробует на прочность финансовые организации по всему миру. Банки в Великобритании, Испании, США, России, Японии и Италии составляют большинство его потенциальных мишеней. Его зовут Trojan-Banker.Win32.Chthonic или просто Chthonic. На данный момент он атаковал более 150 различных банков и 20 платежных систем в 15 странах. Троян штурмует конечных пользователей-клиентов, а не инфраструктуру банков.

Chthonic – троян семейства ZeuS, что неудивительно: эволюционировавший потомок самого популярного, печально известного и активно используемого банковского трояна. Его отличает модульная структура и обширный список известных возможностей для кражи данных, что превращает Chthonic в полноценный инструмент кибершпионажа. Тем не менее, пока его не классифицировали как таковой.

Chthonic умеет:

  • собирать информацию о системе;
  • красть сохраненные пароли;
  • записывать ввод с клавиатуры;
  • обеспечивать удаленный доступ;
  • записывать видео через веб-камеру (если имеется)
  • записывать аудио через микрофон (если имеется)
  • делать инъекцию своего кода в процесс Internet Explorer (подменяя, таким образом, веб-страницы)
chthonic_wide

Веб-инъекции — основное оружие вредоносных программ. Этот троян способен вставлять собственный код и изображения в банковские страницы, загружаемые браузером компьютера. Это позволяет злоумышленникам получить номер телефона жертвы, одноразовые пароли и PIN-коды, а также любые другие данные, введенные пользователем в процессе залогинивания.

Жертвы инфицируются через скомпрометированные веб-ссылки или вложениями электронной почты с файлом .doc, который устанавливает бэкдор для вредоносного ПО. Вложение содержит особо составленный документ RTF, предназначенный для эксплойта уязвимости CVE-2014-1761 в продуктах Microsoft Office. Эксплуатация данного изъяна была впервые обнаружена в сети в марте 2014 года. Информацию об уязвимых продуктах см. в рекомендации Microsoft.

После попадания на машину загрузчик внедряет свой код в msiexec.exe — процесс инсталлятора Windows. Затем на компьютер устанавливается ряд вредоносных модулей. Вполне возможно, что в сети есть и пока неизвестные модули.

Радует, что многие фрагменты кода, используемые Chthonic для веб-инъекций, больше использовать нельзя, потому что банки изменили структуру своих страниц, а в некоторых случаях — и домены тоже. Но это лишь вопрос времени до тех пор, пока операторы Chthonic не скорректируют свои методы.

Мы начали с утверждения, что банки атакованы, в то время как непосредственными мишенями трояна являются пользователи. На самом деле жертвами Chthonic и других банковских троянов становятся, всё-таки, банки. Конечные пользователи, как правило, ожидают от банков возмещения своих потерь от троянов и мошенничества и винят финансовые организации во всяких недостатках безопасности, даже если в действительности виноватыми были сами.

Опять же, Chthonic — порождение ZeuS. Это означает, что вредоносное семейство ZeuS продолжает развиваться и в ближайшее время со сцены уходить не собирается. Многоступенчатые методы заражения, модульная конструкция и возможности Chthonic делают его похожим на законченное решение для кибершпионажа. Данный факт также показывает, что грань между «кибероружием» и «обычной вредоносной программой» все более размывается (если она вообще до сих пор существует). Поэтому не удивлюсь, если через несколько месяцев мы услышим о какой-нибудь APT-группе, которая использует Chthonic с некими дополнительными возможностями, помимо просто кражи банковских данных.

Технические подробности о Chthonic доступны на Securelist.