Chthonic, la cepa del troyano ZeuS contra la banca online mundial

Negocios

Descubierto por Kaspersky, Chthonic ya ha atacado a más de 150 bancos y 20 sistemas de pago online en 15 países.

Kaspersky Lab anuncia el descubrimiento de una nueva amenaza dirigida a sistemas de banca online y a sus clientes. Identificado como una evolución del troyano ZeuS, Trojan-Banker.Win32.Chthonic, o Chthonic, ha atacado más de 150 bancos y 20 sistemas de pago online diferentes en 15 países, aunque parece estar dirigido a instituciones financieras de España, Estados Unidos, Italia, Japón, Reino Unido y Rusia.

Chthonic explota las funciones del ordenador, incluyendo la cámara web y el teclado para robar credenciales bancarias online. Los ciberdelincuentes también pueden conectarse al ordenador de forma remota y ordenarle que realice transacciones.

El arma principal de Chthonic consiste en inyectar código en páginas web para engañar a los usuarios y conseguir no sólo las contraseñas, sino también el número de teléfono de la posible víctima, necesario para interceptar los sistemas de doble autenticación utilizados por los bancos.

Las víctimas se infectan a través de enlaces web o por archivos adjuntos en el correo electrónico que llevan una extensión .DOC, documento que a continuación dirige a un backdoor con código malicioso, explican desde Kaspersky. El archivo adjunto contiene un documento RTF especialmente diseñado para explotar la vulnerabilidad CVE-2014-1761 en los productos de Microsoft Office.

Una vez descargado el código, un archivo de configuración cifrada se inyecta en el proceso msiexec.exe y una serie de módulos maliciosos se instalan en la máquina. Hasta ahora Kaspersky Lab ha descubierto módulos que pueden recoger información del sistema, robar contraseñas guardadas, pulsaciones de teclado, permitir el acceso remoto, y grabar vídeo y sonido a través de la cámara web y el micrófono, si está presente.

En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las advertencias del banco e inyectar un script que permite a los ciberdelincuentes llevar a cabo diversas operaciones utilizando la cuenta de la víctima.

Los clientes afectados de los bancos rusos son dirigidos a páginas bancarias fraudulentas nada más iniciar la sesión. Esto se consigue porque el troyano crea un iframe con una copia phishing de la página web que tiene el mismo tamaño que la ventana original.


Leer la biografía del autor  Ocultar la biografía del autor