Kaspersky Lab'ın analistleri tarafından çevrimiçi bankacılık sistemleri ve müşterilerini tehdit eden yeni bir zararlı yazılım tespit edildi. Kötü şöhretli ZeuS Trojan'ın evrim geçirmiş hali olarak tanımlanan Trojan-Banker.Win32.Chthonic veya kısaca Chthonic, 15 ülkede 150 farklı banka ve 20 ödeme sistemini etkilemesiyle tanınıyor. Genellikle İngiltere, İspanya, ABD, Rusya, Japonya ve İtalya'da finansal kurumları hedeflediği görülüyor.
Chthonic, kayıtlı şifreler gibi çevrimiçi bankacılık bilgilerini çalmak için web kamerası ve klavye de dahil olmak üzere bilgisayarların işlevlerinden yararlanıyor. Saldırganlar bilgisayara uzaktan bağlanabiliyor ve işlemleri yürütmesi için komut verebiliyor.
Chthonic'in asıl silahı web enjektörleri. Bu silah Trojan'ın kendi kodunu ve imajını bilgisayarın tarayıcısı tarafından yüklenen banka sayfalarına girmesini sağlayarak saldırganların kurbanın telefon numarası, tek seferlik şifreleri ve PIN'lerinin yanı sıra kullanıcı tarafından girilen oturum açma bilgileri ve şifreleri elde etmesine olanak tanıyor.
Kurbanların bilgisayarına, zararlı kod için bir arka kapı oluşturan bir belge .DOC uzantısı taşıyan web bağlantıları veya e-posta eklentileri aracılığıyla virüs bulaştırılıyor. Eklenti, Microsoft Office ürünlerindeki CVE-2014-1761 güvenlik açığından yararlanmak için özel olarak tasarlanmış bir RTF belgesi içeriyor.
Şifreli bir konfigürasyon dosyası içeren zararlı kod bir kez indirildikten sonra msiexec.exe işlemine enjekte ediliyor ve bir dizi zararlı yazılım modülü makineye yükleniyor.
Bugüne kadar Kaspersky Lab, sistem bilgilerini toplayan, kayıtlı şifreleri çalan, tuş vuruşlarını kaydeden, uzaktan erişim olanağı sağlayan ve varsa web kamerası ve mikrofon aracılığıyla video ve ses kaydeden çok sayıda modül tespit etti.
Japonya bankalarından birinin hedeflendiği bu vakada zararlı yazılım, bankanın uyarılarını gizlemiş ve bunun yerine saldırganların kurbanın hesabını kullanarak çeşitli işlemler gerçekleştirmesine olanak tanıyan bir betik enjekte etti.
Rusya bankalarının etkilenen müşterileri oturum açtıklarında tamamen sahte bankacılık sayfalarıyla karşılandı. Bu, web sitesinin orijinal pencereyle aynı boyuttaki kimlik avcılığı kopyasıyla bir iframe oluşturan Trojan tarafından gerçekleştirildi.
Chthonic diğer Trojan'larla ortak özellikler taşıyor. Andromeda botlarıyla aynı şifreleyici ve indiriciyi, Zeus AES ve Zeus V2 Trojan'larıyla aynı şifreleme şemasını ve ZeusVM ve KINS zararlı yazılımında kullanılan sanal makinenin bir benzerini kullanıyor.
Neyse ki Chthonic'in web enjeksiyonları gerçekleştirmek için kullandığı birçok kod fragmanı, bankalar sayfalarının yapısını ve hatta etki alanlarını değiştirdikleri için artık kullanılamıyor.