Descubierta una nueva cepa del troyano ZeuS dirigido a bancos en todo el mundo

Los analistas de seguridad de Kaspersky Lab han descubierto una nueva amenaza dirigida a sistemas de banca online y a sus clientes. Identificado como una evolución del troyano ZeuS, Trojan-Banker.Win32.Chthonic o Chthonic para abreviar, ha atacado más de 150 bancos y 20 sistemas de pago online diferentes en 15 países. Parece estar dirigido principalmente a instituciones financieras en el Reino Unido, España, EE.UU., Rusia, Japón e Italia.

Chthonic explota las funciones del ordenador, incluyendo la cámara web y teclado para robar credenciales bancarias online. Los ciberdelincuentes también pueden conectarse al ordenador de forma remota y ordenarle que realice transacciones.

El arma principal de Chthonic, sin embargo, son los inyectores web que permiten al troyano insertar su propio código y las imágenes en las páginas de los bancos cargados por el navegador, con el fin de que los atacantes obtengan el número de teléfono de la víctima, contraseñas y PINs, así como los inicio de sesión introducidos por el usuario.

Las víctimas se infectan a través de enlaces web o por archivos adjuntos en el correo electrónico que llevan una extensión .DOC, documento que a continuación dirige a un backdoor con código malicioso. El archivo adjunto contiene un documento RTF especialmente diseñado para explotar la vulnerabilidad CVE-2014-1761 en los productos de Microsoft Office.

Una vez descargado el código, un archivo de configuración cifrada se inyecta en el proceso msiexec.exe y una serie de módulos maliciosos se instalan en la máquina. Hasta ahora Kaspersky Lab ha descubierto módulos que pueden recoger información del sistema, robar contraseñas guardadas, pulsaciones de teclado, permitir el acceso remoto, y grabar vídeo y sonido a través de la cámara web y el micrófono, si está presente.

En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las advertencias del banco e inyectar un script que permite a los ciberdelincuentes llevar a cabo diversas operaciones utilizando la cuenta de la víctima.

Los clientes afectados de los bancos rusos son dirigidos a páginas bancarias fraudulentas nada más iniciar la sesión. Esto se consigue porque el troyano crea un iframe con una copia phishing de la página web que tiene el mismo tamaño que la ventana original.

Chthonic comparte algunas similitudes con otros troyanos. Se utiliza el mismo cifrador y downloader como bots Andromeda, el mismo esquema de cifrado como AES Zeus y Zeus V2 troyanos, y una máquina virtual similar a la utilizada en ZeusVM y KINS malware.

Afortunadamente, muchos fragmentos de código utilizados por Chthonic para realizar inyecciones web ya no pueden ser utilizados, porque los bancos han cambiado la estructura de sus páginas y en algunos casos, los dominios también.