È l’evoluzione del trojan ZeuS, che ha già colpito 15 Stati e più di 150 banche. Ecco come ci si può infettare e in che modo permette a cracker di eseguire transazioni.

chthonic

Gli esperti di sicurezza dei Kaspersky Lab hanno scoperto una nuova minaccia informatica che riguarda i sistemi di home banking. Il suo nome completo è Trojan-Banker.Win32.Chthonic, ma il virus è ormai noto semplicemente come Chthonic, ed è considerato l’evoluzione del trojan ZeuS, dal momento che usa lo stesso criptaggio della macchina virtuale ZeuS AESn e il medesimo downloader di Andromeda. Fino a oggi, Chthonic avrebbe già attaccato oltre 150 banche e 20 sistemi di pagamento di 15 Paesi, colpendo soprattutto gli Stati Uniti ma anche l’Italia, la Russia, la Spagna e il Giappone.

Il contagio del malware avviene, come spesso accade, via email: link o documenti di testo (.doc) allegati ai messaggi di posta elettronica consentono l’apertura di una backdoor per il malware. Nella mail è sempre contenuto anche un allegato in formato rtf che sfrutta la vulnerabilità CVE-2014-1761 di Microsoft Office per inserire un file di configurazione criptato all’interno del processo msiexec.exe e installare una serie di software malevoli.

Chthonic agisce sottraendo le credenziali dei clienti che utilizzano il banking online e, per farlo, utilizza funzioni del computer comewebcam, microfono e tastiera. Poi, una volta ottenuto l’accesso, i cracker possono collegarsi al computer da remoto e operare come fossero i veri clienti dell’home banking.

Il malware di Chthonic è anche in grado di inserire codice e immagini all’interno delle pagine web della banca, e proprio in questo modo consente ai criminali di rubare numeri di telefono,password salvate, pin, tasti digitati, credenziali di login e cronologia degli accessi. Il software Chthonic si è già dimostrato capace di bloccare le notifiche della banca e consente ai cracker di accedere da remoto e portare a termine operazioni bancarie tra cui le transazioni di denaro. In altri casi, invece, il trojan genera una pagina web (iframe) simile a quella della banca, nella quale poi è lo stesso utente a inserire i propri dati e a consegnarli ai cyber-criminali.

Per fortuna Chthonic ha anche un piccolo punto debole, che deriva proprio dall’essere nato come un’evoluzione di ZeusS: parti del codice malevolo sono già note agli esperti di sicurezza delle banche, che quindi si sono già attrezzate per aggiornare la struttura delle proprie pagine web e prevenire la minaccia, anche se il virus sta continuando a evolvere attivamente.



Fonte: Wired

Commenti

commenti

Powered by Facebook Comments