返回新闻列表

卡巴斯基实验室发现Chthonic:一种攻击全球网银系统的新型ZeuS木马变体

        卡巴斯基实验室的安全专家检测到一种攻击网银系统及其用户的新型恶意威胁Trojan-Banker.Win32.Chthonic,也被简称为Chthonic。它是臭名昭著的ZeuS木马的一种变体,已攻击了15个国家超过150家银行和20个支付系统,其主要攻击目标显示为英国、西班牙、美国、俄罗斯、日本和意大利的金融组织。

        Chthonic利用计算机的网络摄像头和键盘等功能窃取网银登陆信息,如保存的密码。攻击者还可以远程连接与控制计算机,以此进行转账操作。

        然而,Chthonic的主要武器是网页注入器。木马通过它将代码和图像注入计算机浏览器所载入的银行页面中,从而使攻击者获得受害者的手机号码、一次性密码及其输入的任何登陆信息和密码。

        攻击者通过网络链接或DOC格式的邮件附件运行一种后门程序,从而释放恶意代码,感染受害者。而该附件所包含的RTF文件则被精心制作,专门用以利用Microsoft Office产品中的CVE-2014-1761漏洞。

        包含加密配置文件的恶意代码一旦被下载,将会注入到msiexec.ex进程中,而若干恶意组件也会安装至计算机上。

        截至目前,卡巴斯基实验室已发现了具有系统信息收集、密码窃取、键盘输入内容记录、远程访问等功能并且能够通过网络摄像头和话筒记录视频和音频的组件(如果存在)。

        在一起针对某日本银行的攻击中,恶意软件能够屏蔽银行的提示,并且注入脚本,使攻击者通过受害者的账户执行多种转账操作。而受感染的某俄罗斯银行的用户刚一登录银行网页,就进入了虚假的银行页面。这是因为木马创建了一个同原始界面规模一致的钓鱼网站。

        Chthonic与其它木马具有很多相似之处。它和Andromeda僵尸网络使用了相同的加密器与下载器,和Zeus AES以及Zeus V2木马使用了同样的加密手段,并且还使用了同ZeusVM以及KINS 恶意软件相似的虚拟机。

        庆幸的是,被Chthonic执行网页注入的许多代码段已经无法使用,因为银行更改了页面结构,在某些情况下还更改了域名。

        “Chthonic的发现证明,ZeuS木马仍在不断进化。恶意软件编写者充分利用最新的技术,而ZeuS源代码的泄露也起到了推波助澜的作用。Chthonic是ZueS演化过程中的下一阶段。它使用了Zues AES加密技术、同ZeusVM和KINS相似的虚拟机,还使用Andromeda下载器以更为复杂的方式攻击更多金融组织与无辜的用户。我们认为,未来很可能会出现新型ZeuS变体;而我们将继续追踪与分析所有威胁,始终领先于网络罪犯一步”,卡巴斯基实验室高级威胁分析专家,同时也是调查该威胁的研究员之一Yury Namestnikov。

        请访问Securelist.com,了解更多详情。