Специалисты “Лаборатории Касперского” обнаружили новую модификацию вредоноса ZeuS. Банковский троян под названием Chthonic инфицирует компьютеры жертв под управлением Windows, позволяя злоумышленникам удаленно получить доступ к целевой системе и осуществить мошеннические транзакции.
Вредонос нацелен на множество систем интернет-банкинга: более чем 150 различных банков и 20 платежных систем, расположенных в 15 странах мира. В основном, его потенциальными мишенями являются банки Великобритании, Испании, США, России, Японии и Италии. Заражение трояном происходит двумя способами: путем рассылки писем с эксплоитами и загрузки вредоносного ПО с помощью бота Andromeda. В случае, когда рассылались электронные письма с эксплоитами, кибермошенники прикрепляли к сообщению специальный RTF документ, нацеленный на эксплуатирование уязвимости, позволяющей удаленное выполнение кода в Microsoft Word. Для того чтобы не вызывать подозрений, файлу было присвоено расширение .DOC.
Главным оружием новой модификации являются web-инъекции – возможность вставить в код загружаемой в браузере страницы свой код и картинки. Это позволяло преступникам получить не только логин и пароль жертвы, но также ее номер телефона, одноразовые пароли и PIN-коды. По словам специалиста “Лаборатории Касперского” Юрия Наместникова, новый вредонос представляет собой следующий этап эволюции ZeuS. Он использует шифрование ZeuS, виртуальную машину подобную ZeusVM и KINS, а также загрузчик Andromeda. (Касперский/NovostIT)