La versión Chthonic Zeuz acecha a los usuarios de banca online a nivel mundial

Surge una nueva variante del troyano bancario Zeus orientada a las cuentas de usuarios de 150 bancos en 15 países.

Los investigadores de Kaspersky Lab han descubierto una nueva versión del famoso troyano Zeus. Se llama Chthonic y tiene en su punto de mira a 150 bancos y 20 sistemas de pago de 15 países diferentes.

2

Zeus, tal y como su nombre indica, es el rey de los malware bancarios. Su primera aparición fue en 2007 y desde entonces ha causado estragos en cuentas bancarias online. En 2011, sus creadores decidieron tirar la toalla y publicaron el código fuente para que lo viera todo el mundo. Esto, que parecía ser el fin de Zeus, lo cierto es que ha tenido el efecto contrario. La divulgación del código fuente de Zeus ha fortalecido a los programadores criminales, permitiéndoles crear variaciones en su marco altamente personalizables, como  GameOver, Zitmo y otras muchas amenazas.

Chthonic recopila información del sistema, roba las contraseñas guardadas, registra las pulsaciones del teclado, concede acceso remoto a los ordenadores de sus controladores y también tiene la capacidad de activar cámaras y grabadoras de audio en equipos infectados

Una vez infectado el host, Chthonic recopila información del sistema, roba las contraseñas guardadas, registra las pulsaciones del teclado, concede acceso remoto a los ordenadores de sus controladores y también tiene la capacidad de activar cámaras y grabadoras de audio en equipos infectados. Básicamente, estas funciones tienen un doble objetivo: robar las credenciales bancarias online y permitir que los atacantes tomen control de los equipos de sus víctimas para poder de poder realizar transacciones financieras fraudulentas.

Al igual que los anteriores Troyanos, Chthonic utiliza técnicas de inyección con webs maliciosas con el fin de reemplazar las interfaces bancarias legítimas con imágenes y códigos personalizados. Los usuarios de banca online dan involuntariamente sus credenciales bancarias a los criminales a través del malware, sin darse cuenta de que su página de inicio ha sido reemplazada por una página maliciosa con la misma apariencia. Una de las ventajas de este método, es que los criminales también son capaces de acceder a la verificación de dos pasos en el momento en que los usuarios introducen los códigos recibidos a través  mensajes de texto o las contraseñas de un solo uso.

Chthonic tiene en su punto de mira, principalmente, a instituciones del Reino Unido, España, Estados Unidos, Rusia, Japón e Italia. En Japón, el malware ignora las advertencias de seguridad del banco con un script que permite que los atacantes hagan transacciones en las cuentas de los usuarios. En Rusia, los usuarios infectados ni siquiera pueden acceder a su web de banca online porque Chthonic inyecta un iframe que los redirige a una web falsa aunque muy convincente.

3

Sin embargo, para que a un usuario le roben las credenciales bancarias primero deber estar infectado por el malware de Chthonic. Como suele pasar con cualquier tipo de malware, Chthonic se infiltra en los equipos a través de enlaces web maliciosos y archivos adjuntos de mails. En cualquier caso, el atacante descarga un archivo .DOC malicioso al equipo de la víctima. Ese documente contiene un código de RTF (formato de texto enriquecido) que activa un error de ejecución de código remoto de Microsoft Office que se arregló en abril. El malware no funciona en equipos actualizados. Los usuarios de los productos de seguridad de Kaspersky, también están protegidos de esta amenaza.

Consejos