Kaspersky Lab Comunicato Stampa Chthonic

Kaspersky Lab scopre Chthonic: una nuova versione del Trojan
ZeuS che prende di mira le banche online in tutto il mondo
Kaspersky Lab scopre Chthonic: una nuova
versione del Trojan ZeuS che prende di mira
le banche online in tutto il mondo
Roma, 19 dicembre 2014
Gli analisti di sicurezza di Kaspersky Lab hanno rilevato una nuova pericolosa minaccia malware che
colpisce i sistemi di banking online e i loro clienti. È considerata come un’evoluzione del famigerato
Trojan ZeuS, Trojan-Banker.Win32.Chthonic, o in breve Chthonic, ed è nota per aver colpito più di
150 banche e 20 sistemi di pagamento in 15 Paesi. Sembra che prenda maggiormente di mira le
istituzioni finanziarie situate negli Stati Uniti, in Spagna, Russia, Giappone e Italia.
Chthonic sfrutta le funzioni del computer, tra cui la webcam e la tastiera, per rubare le credenziali dei
clienti del banking online. I criminali possono anche connettersi da remoto al computer e controllarlo
per effettuare transazioni.
Le principali armi di Chthonic, tuttavia, sono gli injector web che permettono al Trojan di inserire il suo
codice e le sue immagini nelle pagine bancarie caricate dal browser del computer, consentendo ai
cybercriminali di ottenere il numero di telefono della vittima, le sue password temporanee e i PIN, oltre
a tutti i dettagli del login e delle password inserite dall’utente.
Le vittime vengono infettate tramite link o documenti con estensione .DOC allegati nelle email che
installano una backdoor per il codice nocivo. L’allegato contiene un documento RTF creato
appositamente per sfruttare la vulnerabilità CVE-2014-1761 dei prodotti Microsoft Office.
Una volta scaricato, il codice dannoso che contiene un file di configurazione criptato viene iniettato nel
processo msiexec.exe e nel dispositivo vengono installati numerosi moduli nocivi.
Fino ad ora Kaspersky Lab ha scoperto moduli che possono raccogliere informazioni di sistema,
rubare le password salvate, registrare i tasti digitati, permettere l’accesso da remoto e registrare video
e suoni tramite la webcam o il microfono, se presenti.
Nel caso di una delle banche giapponesi prese di mira, il malware è in grado di nascondere le
notifiche della banca e iniettare uno script che permette agli hacker di effettuare diverse transazioni
usando l’account della vittima.
I clienti delle banche russe colpite, invece non appena effettuano il login, vengono accolti da pagine di
siti bancari falsi. Il Trojan, in questo caso, crea un iframe che copia, mantenendo le stesse dimensioni,
la finestra originale del sito.
Kaspersky Lab scopre Chthonic: una nuova versione del Trojan
ZeuS che prende di mira le banche online in tutto il mondo
Chthonic ha alcune peculiarità in comune con altri Trojan: usa lo stesso encryptor e lo stesso
downloader dei bot Andromeda, lo stesso schema di criptaggio dei Trojan Zeus AES e Zeus V2 e una
macchina virtuale simile a quella usata nei malware ZeusVM e KINS.
Fortunatamente, molti frammenti di codice usati da Chthonic per effettuare le iniezioni online non
possono più essere utilizzati in quanto le banche hanno cambiato la struttura delle loro pagine e, in
alcuni casi, i domini.
“La scoperta di Chthonic conferma che il Trojan ZeuS si sta ancora evolvendo attivamente. I writer dei
malware fanno ampio uso delle tecniche più recenti aiutati dalla diffusione del codice sorgente di
ZeuS. Chthonic è l’evoluzione di ZeuS: usa il criptaggio di ZeuS AES, una macchina virtuale simile a
quella usata da ZeusVM e KINS e il downloader di Andromeda – per prendere di mira sempre più
istituzioni finanziarie e clienti ignari con metodi sempre più sofisticati. Siamo sicuri che in futuro
incontreremo nuove varianti di ZeuS e continueremo a registrare e analizzare ogni minaccia per
trovarci sempre un passo avanti rispetto ai cybercriminali” ha commentato Yury Namestnikov, Senior
Malware Analyst at Kaspersky Lab e ricercatore che ha effettuato un’indagine sulla minaccia.
E’ possibile trovare maggiori dettagli su Securelist.com.
Informazioni su Kaspersky Lab
Kaspersky Lab è la più grande azienda privata del mondo che produce e commercializza soluzioni di sicurezza per gli
endpoint. L’azienda si posiziona tra i primi quattro vendor al mondo in questo mercato*. Nel corso dei suoi 17 anni di
storia, Kaspersky Lab è stata un pioniere nella sicurezza IT, offrendo al mercato soluzioni di sicurezza IT per la
protezione di utenti finali, Piccole e Medie Imprese e grandi aziende. Kaspersky Lab, la cui holding è registrata in Gran
Bretagna, opera in 200 paesi e protegge oltre 300 milioni di clienti in tutto il mondo. Per ulteriori informazioni:
www.kaspersky.com/it.
* L’azienda si è posizionata al quarto posto nel, 2013 di IDC. La classifica è stata pubblicata nel report IDC Worldwide Endpoint
Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, Agosto 2014).). Il report ha classificato i vendor software in
base al fatturato derivante dalle vendite di soluzioni di sicurezza endpoint nel 2013.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/u/0/b/110369116315123340458/110369116315123340458/posts
Contatto di redazione:
Noesis
Cristina Barelli e Valeria Valenti
KasperskyLab Italia
Alessandra Venneri
Kaspersky Lab scopre Chthonic: una nuova versione del Trojan
ZeuS che prende di mira le banche online in tutto il mondo
[email protected]
[email protected]
[email protected]
02/8310511
Via Savona, 19/A
Milano
06 58891031 - 3351980618
Via F. Benaglia 13
Roma