Aparece una variante de Zeus -Chthonic- que ataca bancos en España

0

Malware zeus desemboca en CHthonicUna nueva variante del troyano Zeus, cuyo nombre es Chthonic, ha sido descubierto haciendo de las suyas en Internet y atacando cientos de bancos y 20 sistemas de pago distintos, principalmente en Europa y de forma destacada en nuestro país.

Tras la calma, Chthonic

Cuando los expertos creían que lo sabían y habían visto todo sobre Zeus y sus variantes P2P, otras que afectan a SaaS o a la red Tor…aparece súbitamente una nueva mutación del malware que los deja con la boca abierta.

Nueva variante de Zeus

Esta nueva variante de Zeus utiliza un nuevo mecanismo para cargar su módulos. Chthonic se presenta a las víctimas a través del bot Andromeda, conocido como principal explotador de la vulnerabilidad CVE-2014-1761 surgida en Microsoft Office y es distribuído por email.

Un nuevo y significativo malware cuyos objetivos son sistemas de banca online y sus clientes ha sido detectado por los analistas de Kaspersky Labs. Identificado como una evolución del conocido troyano Zeus, Trojan-Banker.Win32.Chthonic o Chthonic para abreviar, está detrás de ataques a más de 150 bancos diferentes y 20 sistemas de pago en 15 países.”

Chthonic ha afectado en gran medida a España

Chthonic ha afectado en gran medida a España

Los países más castigados por Chthonic son Reino Unido, España, Rusia, Japón e Italia. Los expertos han descubierto que muchos componentes de Chthonic son compatibles con sistemas de 64 bits, junto con una máquina virtual implementada por ZeusVM y el troyano KINS.

“Chthonic comparte algunas similitudes con otros troyanos. Utiliza el mismo cifrador y donwloader que los bots de Andromeda, la misma forma de cifrado que Zeus AES y Zeus V2 y una máquina virtual similar a la usada por ZeusVM.”

Como se comporta Chthonic

Este malware emplea un módulo principal para descargar otros módulos adicionales, admitiendo sistemas de 32 y 64 bits y, entre sus capacidades, destacan las de recopilación de información, robo de contraseñas a través del malware Pony, rastreo de pulsaciones de teclado (keyologging), control de las cámaras web conectdas, extracción de datos en formularios, inyecciones de código en webs y acceso remoto a través del componente VNC.

Chthonic_1

Los expertos destacan que los inyectores web permiten a Chthonic insertarse en el navegador cuando las víctimas acceden a una web comprometida en servicios de banca online.

“Sin embargo, la principal arma de Chthonic son los inyectores web. Estos permiten al troyano insertar su propio código e imágenes en las páginas del banco que son cargadas por el navegador, permitiendo al atacante obtener el número de teléfono de la víctima, OTP (one time passwords) y PIN, además de información de login, como detalles de contraseñas introducidas por el usuario.”

Ataques MiTM

El esquema de ataque no es diferente del empleado por Zeus en otras variantes. Se beneficia de un ataque tipo Man in the middle mediante la cual Chthonic interceptaría la comunicación con el cliente en el banco objetivo, modificando la página web cargada en el propio buscador y el código deseado. La inyección de código permite a los atacantes robar información bancaria.

Chthonic

En al menos una ocasión (con un banco japonés), Chthonic fué capaz de esconder los avisos de seguridad del banco, mientras en otro caso -bancos rusos- los clientes fueron engañados mediante el uso de uyn iframe con una copia de Phishing del sitio web, que tenía las mismas dimensiones que la web original.

Afortunadamente, muchos fragmentos de código usados por el malware Chthonic para realizar inyecciones web ya no pueden usarse, ya que los bancos han cambiado la estructura de sus páginas y, en ciertos casos, también los dominios.

Tenéis detalles en el informe completo publicado por Kaspersky Labs.


Las imágenes son propiedad de Kaspersky Labs o de sus respectivos autores.

 

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR