По оценке «Лаборатории Касперского», обнаруженный осенью модульный банкер является продолжением ветви ZeusVM, хотя и заимствует некоторые новшества, реализованные в других модификациях ZeuS. Как показал анализ, новый отпрыск могучего «Зевса» способен атаковать более 170 систем онлайн-банкинга, прописанных в разных странах. Защитные решения «Лаборатории» детектируют его как Trojan-Banker.Win32.Chthonic.

«Новый троянец Chthonic представляет собой очередной этап эволюции ZeuS: он использует шифрование Zeus AES, виртуальную машину, подобную той, что была в ZeusVM и KINS, и загрузчик Andromeda», — суммируют свои находки исследователи.

Распространяется новый зловред через спам-рассылки с применением эксплойта или через загрузки с помощью бота Andromeda (Backdoor.Win32.Androm). В частности, были обнаружены русскоязычные спам-письма с предложением услуг по срочному возврату депозитов, в которые вложен специально сформированный RTF-документ, нацеленный на эксплуатацию уязвимости CVE-2014-1761. Вредоносному файлу было присвоено вполне безобидное расширение .DOC.

Особо заинтересовал экспертов новый, ступенчатый способ загрузки модулей зловреда. Вначале после отработки эксплойта или запуска соответствующей функции Andromeda закачивается даунлоудер, код которого, по свидетельству «лаборантов», схож с исходниками Andromeda. Этот загрузчик содержит конфигурационный файл, зашифрованный с помощью виртуальной машины, как это ранее наблюдалось у ZeusVM и KINS. Отправив на C&C-сервер данные о зараженной системе, бот в ответ получает расширенный загрузчик, который закачивает главный модуль, а тот, в свою очередь, — остальные модули.

Судя по перечню модулей, обнаруженных экспертами, новый зловред умеет воровать данные разными способами и наделен рядом дополнительных функций. Помимо веб-инжектов (основного инструмента современного банкера) у Chthonic предусмотрены модуль для сбора данных из веб-форм (формграббер), модуль для кражи сохраненных паролей, кейлоггер, а также модуль для записи видео с веб-камеры. Зловред позволяет использовать зараженную машину как SOCKS-прокси и обеспечивает операторам VNC-связь для проведения мошеннических транзакций. Почти все перечисленные модули могут быть закачаны в 64-битной версии.

Веб-инжекты Chthonic позволяют не только вставлять дополнительные поля и картинки на страницы атакуемых банков, но также воспроизводить поддельные окна и даже полностью подменять содержимое веб-страницы. Так, в отчете «Лаборатории» указано, что для одного из японских банков зловред скрывает легитимные предупреждения и внедряет скрипт, позволяющий злоумышленникам манипулировать аккаунтом жертвы. При атаке на российский банк троянец продемонстрировал другой, нестандартный сценарий: создал iframe c фишинговой копией сайта на все окно.

ZeuS продолжает активно развиваться и использовать успехи вирусописательства.

«Лаборанты» обнаружили несколько ботнетов, построенных на основе Chthonic, а среди его мишеней совокупно насчитали более 150 банков и 20 платежных систем, расположенных в 15 странах. При этом больше всего злоумышленников интересуют банки Великобритании (43 объекта), Испании (36), США (35), России (22), Японии и Италии (18 и 13 соответственно). Исследователи не преминули отметить, что многие веб-инжекты Chthonic уже не работают из-за изменений, внесенных банками в структуру страниц, или из-за смены целевого домена.

«Мы видим, что троянец ZeuS не перестает активно развиваться и в его новых реализациях используются передовые достижения создателей вредоносных программ, — заключают эксперты. — Во многом этому способствует утечка исходных кодов ZeuS. Таким образом, в мире создателей вредоносных программ он стал чем-то вроде фреймворка, который доступен всем желающим и легко может быть адаптирован под новые потребности злоумышленников. Все это говорит о том, что мы определенно еще увидим новые варианты ZeuS».

Как бы в подтверждение этого прогноза в день публикации отчета «Лаборатории» в блоге PhishLabs появилась запись о новом приеме социальной инженерии, который взяли на вооружение распространители ZeuS. Потенциальной жертве в браузере отображается поддельное уведомление о блокировке некоего «текущего файл-ридера для чтения документов онлайн», якобы в связи с подозрительной сменой настроек безопасности. Для «восстановления настроек и возможности просмотра онлайн-документов» пользователю предлагают нажать приведенную в сообщении кнопку Download and Install («Загрузить и установить»). По словам исследователей, при ее активации происходит перенаправление на сайт, загружающий ZeuS. Источник провокационных сообщений в браузере пока не обнаружен, зловреда удалось проследить вплоть до панели управления.

Представленное в виде заставки географическое распределение мишеней Chthonic позаимствовано из отчета «Лаборатории Касперского».

Категории: Аналитика, Вредоносные программы, Главное