Четверг, 23 ноября 2017 16 +   Подписка на обновления  RSS  Письмо редактору
Популярно
Обнаружена новая модификация банковского трояна ZeuS
3:35, 15 августа 2015

Обнаружена новая модификация банковского трояна ZeuS


Осенью этого года «Лаборатория Касперского» обнаружила банковский троян Chthonic, который использует новый способ загрузки модулей и нацелен на более чем 150 различных систем онлайн-банкинга в Великобритании, Испании, США, России, Японии и Италии.

Несмотря на большое количество целей, многие фрагменты кода, используемые трояном для инъекции уже не работоспособны, т.к. банки сменили структуру своих страниц, а в некоторых случаях и сам домен. Эксперты предполагают, что Chthonic является эволюцией ZeusVM, совмещенным с элементной базой Andromeda.

В Chthonic применяется тот же криптор, что и у ботов Andromeda, шифрование, как в троянах Zeus AES и Zeus V2, и виртуальная машина, подобная той, что используется в зловредах ZeusVM или KINS. Распространяется Trojan-Banker.Win32.Chthonic через рассылку спама с вредоносным DOC-вложением (CVE-2014-1761) или загрузкой ботом Andromeda (Backdoor.Win32.Androm).

Скачанный загрузчик Andromeda внедряет свой код в процесс «msiexec.exe». Загрузчик, похоже, основан на исходных кодах бота Andromeda, однако протокол общения у них отличается. Загрузчик Chthonic содержит зашифрованный конфигурационный файл (список С&С серверов, 16-байтный ключ для RC4 шифрования, UserAgent, botnet id).

Загрузчик формирует типичный для ZeuS-трояна пакет с данными о системе и шифрует его сначала с помощью XorWithNextByte, а затем с помощью RC4. Далее пакет отправляется на один из записанных в конфигурационном файле адресов командных центров. В ответ зловред получает расширенный загрузчик – модуль в формате данных, типичном для ZeuS, т.е. не стандартный PE-файл, а именно набор секций, которые отображаются в память самим загрузчиком.

Следует отметить, что секция импорта представлена лишь хешами от имен API функций. Сама таблица импорта настраивается с применением метода Stolen Bytes, для чего в загрузчике есть встроенный дизассемблер. Похожую настройку импорта ранее применялась в Andromeda. Список функций Chthonic позволяет различными способами воровать данные для доступа к системам онлайн-банкинга.

Главным оружием трояна Chthonic являются веб-инъекции и поддельные формы с целью получить финансовую информацию. Помимо этого, модули VNC и cam_recorder позволяют злоумышленникам удаленно подключаться и совершать транзакции с зараженного ПК, а также записывать видео и звук, если на компьютере есть веб-камера и микрофон.

Троян ZeuS не перестает активно развиваться, и в его новых реализациях используются передовые достижения создателей вредоносных программ. Во многом этому способствует утечка исходных кодов ZeuS. Таким образом, в мире создателей вредоносных программ он стал чем-то вроде фреймворка, который доступен всем желающим и легко может быть адаптирован под новые потребности злоумышленников.

Новый троян Chthonic представляет собой очередной этап эволюции ZeuS: он использует шифрование Zeus AES, виртуальную машину, подобную той, что была в ZeusVM и KINS, и загрузчик Andromeda.

Об авторе: profiremont


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2017 Информационно новостные статьи