Chthonic: A new strain of Zeus

http://itclat.com/2014/12/23/chthonic-666/

traducido por Federico Dilla
Chthonic: A new strain of Zeus
by Marcelo Lozano • 2014/12/23

Dmitry Bestuzhev, Director of Research and Analysis for Kaspersky Lab in America
Dmitry Bestuzhev, Director of Research and Analysis for Kaspersky Lab in America
A major new threat of malware called Chthonic targeting online banking systems and their customers has been detected by security analysts from Kaspersky Lab.

Identified as an evolution of the Zeus Trojan, Trojan-Banker.Win32.Chthonic, or Chthonic for short, is known to have affected more than 150 banks and 20 different payment systems in 15 countries, and seems destined mainly to attack institutions financial in the UK, Spain, United States, Russia, Japan and Italy.

Although Chthonic not yet been detected in Latin America, Dmitry Bestuzhev, Director of Research and Analysis Team for Kaspersky Lab United States, thinks his appearance in the region is only a matter of time. "As we have seen before with other threats, we anticipate that Chthonic will expand into our region but from the hand of local cybercriminals to take the technical or buy technologies that are behind this malware to spread regionally. Such schemes will commit crimes are very popular in our region and even have been used to the same banking Trojan Zeus "he said.

Chthonic fail functions of computers as webcam and keyboard to steal online banking credentials such as saved passwords. Attackers can also connect to your computer remotely and order to conduct transactions.

However, the main weapon of Chthonic is the injection via the web. This allows the Trojan insert your own code and images on the pages of bank charges the computer browser, which allows attackers to obtain the phone number of the victim, the one-time passwords and PIN numbers as well as details logon and password entered by the user.

The victims were infected through web links or email attachments that contain a document with the .DOC extension which provides a "back door" to the malicious code. The attachment contains a RTF document specifically designed to exploit the vulnerability CVE-2014-1761 in Microsoft Office products.

Once downloaded, the malicious code that contains an encrypted configuration file is injected into the msiexec.exe process and several malicious modules are installed on the machine.

So far Kaspersky Lab has discovered modules that can collect system information, steal saved passwords, log keystrokes, allowing remote access, and record video and sound via webcam and microphone, if the computer includes those functions .

In the case of one of the attacked Japanese banks, malware can hide warnings and inject bank, however, a script that allows attackers to perform various transactions using the victim's account.

Affected customers of Russian banks are greeted by totally fraudulent as soon as they log banking pages. This is achieved by Trojan creates an iframe with a copy of phishing website that has the same size as the original window.

Chthonic shares some similarities with other Trojans. Use the same cipher and download file Andromeda, the same encryption scheme that Zeus Trojan Zeus AES and V2, and similar to that used in ZeusVM and malware KINS virtual machine.

Fortunately, many fragments of the code used for web Chthonic for injections and can not be used, because the banks have changed the structure of the pages, and in some cases, domains.

"The discovery of Chthonic confirms that the Trojan ZeuS is still evolving. Malware authors are making full use of the latest techniques, aided considerably by filtration ZeuS source code. Chthonic is the next phase in the evolution of ZeuS. Zeus uses AES encryption, similar to that used by ZeusVM and KINS virtual machine, and the discharger Andromeda - to attack more and more financial institutions and their innocent increasingly sophisticated ways customers. We believe that certainly appear new ZeuS variants in the future, and we will continue tracking and analyzing threats to keep one step ahead of cyber criminals, "said Yury Namestnikov, Senior Malware Analyst at Kaspersky Lab and one of the researchers who worked in the investigation of the threat.

Chthonic: Una nueva cepa de Zeus

by Marcelo Lozano • 2014/12/23

Dmitry Bestuzhev, Director de Investigación y Análisis para Kaspersky Lab en América

Una nueva e importante amenaza de malware llamada Chthonic dirigido a sistemas de banca en línea y a sus clientes ha sido detectada por los analistas de seguridad de Kaspersky Lab.

Identificado como una evolución del Troyano Zeus, Trojan-Banker.Win32.Chthonic, oChthonic para abreviar, se sabe que ha afectado a más de 150 bancos diferentes y 20 sistemas de pago en 15 países, y parece estar destinado principalmente a atacar a instituciones financieras en el Reino Unido, España, Estados Unidos, Rusia, Japón e Italia.

Aunque Chthonic aún no ha sido detectado en Latinoamérica, Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina, piensa que su aparición en la región es solo una cuestión de tiempo. “Como lo hemos visto antes con otras amenazas, anticipamos que Chthonic se expandirá hacia nuestra región pero de la mano de cibercriminales locales que adoptarán las técnicas o comprarán las tecnologías de los que están detrás de este malware para difundirlo a nivel regional. Dichos esquemas de delinquir son muy populares en nuestra región e inclusive, se han utilizado hasta con el mismo troyano bancario Zeus”, señaló.

Chthonic aprovecha funciones de las computadoras como la cámara web y el teclado para robar credenciales bancarias en línea tales como contraseñas guardadas. Los atacantes también pueden conectarse a la computadora de forma remota y ordenarle que lleve a cabo las transacciones.

Sin embargo, el arma principal de Chthonic es la inyección vía web. Esto permiten al Troyano insertar su propio código e imágenes en las páginas del banco que carga el navegador de la computadora, lo que le permite a los atacantes obtener el número de teléfono de la víctima, las contraseñas de un solo uso y números PIN, así como los detalles de inicio de sesión y contraseña introducidos por el usuario.

Las víctimas se infectan a través de enlaces web o archivos adjuntos de correo electrónico que contienen un documento con la extensión .DOC el cual establece una “puerta trasera” para el código malicioso. El archivo adjunto contiene un documento RTF especialmente diseñado para aprovechar la vulnerabilidad CVE-2014-1761 en productos de Microsoft Office.

Una vez descargado, el código malicioso que contiene un archivo de configuración cifrado se inyecta en el proceso msiexec.exe y se instalan varios módulos maliciosos en la máquina.

Hasta ahora Kaspersky Lab ha descubierto módulos que pueden recoger información del sistema, robar contraseñas guardadas, registrar teclas pulsadas, permitir el acceso remoto, y grabar vídeo y sonido a través de la cámara web y el micrófono, en caso que la computadora incluya esas funciones.

En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las advertencias del banco e inyectar, en cambio, un script que permite a los atacantes realizar diversas transacciones utilizando la cuenta de la víctima.

Los clientes afectados de los bancos rusos son recibidos por páginas bancarias totalmente fraudulentas tan pronto como inician la sesión. Esto se logra mediante el Troyano que crea un iframe con una copia de phishing del sitio web que tiene el mismo tamaño que la ventana original.

Chthonic comparte algunas similitudes con otros Troyanos.  Utiliza el mismo archivo cifrador y de descarga que Andrómeda, el mismo esquema de cifrado que los TroyanosZeus AES y Zeus V2, así como una máquina virtual similar a la usada en ZeusVM y el malware KINS.

Afortunadamente, muchos fragmentos del código utilizado por Chthonic para realizar inyecciones web ya no se pueden utilizar, debido a que los bancos han cambiado la estructura de sus páginas y, en algunos casos, también los dominios.

“El descubrimiento de Chthonic confirma que el Troyano ZeuS sigue evolucionando.  Los autores de malware están haciendo pleno uso de las técnicas más modernas, auxiliados considerablemente por la filtración del código fuente de ZeuS.  Chthonic es la siguiente fase en la evolución de ZeuS. Utiliza el cifrado de Zeus AES, una máquina virtual similar a la utilizada por ZeusVM y KINS, y el descargador de Andrómeda – para atacar cada vez más instituciones financieras y a sus clientes inocentes de formas cada vez más sofisticadas.  Creemos que sin duda aparecerán nuevas variantes de ZeuS en el futuro, y nosotros continuaremos rastreando y analizando cualquier amenaza para mantenernos un paso por delante de los ciberdelincuentes”, dijo Yury Namestnikov,Analista Senior de Malware en Kaspersky Lab y uno de los investigadores que trabajó en la investigación de la amenaza.