Biến thể Zeus nhắm mục tiêu hơn 150 ngân hàng trên thế giới

Một chủng mới của Trojan ngân hàng Zeus đã được phát hiện, với một tập tin cấu hình nhắm đến hơn 150 ngân hàng và 20 hệ thống thanh toán chủ yếu ở các quốc gia ở châu Âu.

Phần mềm độc hại, được đặt tên là Chthonic, dựa trên một phương pháp mới để tải các module của nó và đang phổ biến ở Anh và Tây Ban Nha. Lây nhiễm cũng đã được phát hiện ở các nước châu Âu khác, mặc dù với số lượng thấp hơn, trên các máy tính ở Ý, Đức, Pháp, Bulgaria và Ireland.

Theo dữ liệu từ Kaspersky, trong danh sách các nước bị ảnh hưởng nhất, Mỹ đứng ở vị trí thứ ba, tiếp theo là Nga và Nhật Bản.

Nó được phát tán tới các nạn nhân thông qua bot Andromeda, cũng như thông qua một khai thác cho một lỗ hổng (CVE-2014-1761) trong Microsoft Office, thường phát tán qua email.

Hầu hết các module phần mềm độc hại tương thích với các hệ thống 64-bit

Các nhà nghiên cứu cho biết Trojan ngân hàng mới kết hợp với chương trình mã hóa từ các chủng khác của Zeus, cũng như một máy ảo được tìm thấy trong phần mềm độc hại ZeusVM và KINS. Hơn nữa, đã quan sát được trình mã hóa tương tự trong mối đe dọa Andromeda chịu trách nhiệm về việc tạo ra các botnet cùng tên.

Có vẻ như Chthonic có phương pháp mới để tải các module độc hại, các nhà nghiên cứu cho biết. Điều này đạt được thông qua một module chính tiến hành tải về tất cả các thành phần khác của phần mềm độc hại, sau đó nó bắt đầu tải chúng. Thuật toán AES được sử dụng để mã hóa.

Trong phân tích phần mềm độc hại, các chuyên gia bảo mật từ Kaspersky nhận thấy rằng hầu hết các thành phần phần mềm độc hại tương thích với cả hai nền tảng 32-bit và 64-bit.

Khả năng của Chthonic bao gồm thu thập thông tin hệ thống, đánh cắp mật khẩu từ hệ thống thông qua phần mềm độc hại Pony, ghi lại hoạt động máy tính (keylogger), lây nhiễm web, lấy ủy quyền, và truy cập từ xa vào máy tính bị xâm nhập qua phần mềm máy tính để bàn từ xa VNC.

Không phải tất cả những nỗ lực tấn công đều thành công

Dựa trên kỹ thuật man-in-the-middle, Trojan chặn thông tin liên lạc từ máy con đến ngân hàng mục tiêu và sửa đổi các trang web được tải trong trình duyệt để thu được thông tin ngân hàng nhạy cảm (chi tiết đăng nhập, PIN, mật khẩu) từ các nạn nhân.

Một báo cáo từ Kaspersky giải thích, “Điều đáng chú ý là, mặc dù số lượng lớn các mục tiêu trong danh sách, nhiều đoạn mã được Trojan sử dụng để thực hiện lây nhiễm web có thể không còn được sử dụng, vì các ngân hàng đã thay đổi cấu trúc các trang của họ và trong một số trường hợp , cả tên miền cũng vậy”.

Chthonic là kết quả của mã Zeus bị rò rỉ trên các diễn đàn ngầm. Điều này cho phép các tội phạm khác nhau dùng cùng phiên bản phần mềm độc hại.

Softpedia