Специалисты обнаружили новую версию печально известной троянской программы Zeus.
Зловред, получивший название Chthonic, занимается хищением денег у клиентов 150 банков и 20 платежных систем в 15 странах. Банковский троян Zeus появился в далеком 2007 году и с тех пор бушевал, воруя аккаунты онлайн-банков.
В 2011 году создатели зловреда выбросили белый флаг и опубликовали исходный код в Сети. Можно было ожидать, что после этого опасность «Зевса» сойдет на нет, однако произошло ровно наоборот. Это стимулировало творчество других криминальных групп и привело к появлению многочисленных «вариаций на тему», таких как GameOver, Zitmo и других. А теперь и новейшей версии трояна — Chthonic.
Заразив компьютер, Chthonic собирает информацию о системе, ворует сохраненные пароли, записывает нажатия клавиш на клавиатуре и обеспечивает киберзлодеям удаленный доступ к ПК. Также зловред может активировать доступ к камере и микрофону для записи видео- и аудиоинформации с инфицированной машины. Если говорить вкратце, то все действия зловреда нужны для кражи идентификационных данных онлайн-банкинга и обеспечения контроля над компьютерами жертв с целью последующего проведения мошеннических финансовых операций.
Как и предыдущие банковские трояны, Chthonic использует технику внедрения через веб-интерфейс. Он подменяет настоящий интерфейс онлайн-банка собственным, который выглядит и функционирует похожим образом. В результате ни о чем не подозревающие клиенты сами вводят необходимые злоумышленникам данные в интерфейс трояна.
Кроме того, плохие парни также получают возможность использовать себе на пользу данные, необходимые для реализации второй степени защиты, такие как одноразовые пароли и SMS-коды, поскольку пользователь вводит их в реальном времени на подмененной веб-странице.
Больше всего от действий Chthonic пострадали клиенты организаций в Великобритании, Испании, США, России, Японии и Италии. В Японии вредоносное ПО заменяет предупреждения банковской системы безопасности собственным скриптом, позволяющим преступникам осуществлять банковские операции от лица пользователя. В России пострадавшие клиенты даже не могут получить доступ к сайту банка, поскольку Chthonic перенаправляет пользователей на внешне надежную, но по сути фальшивую фишинговую страницу.
Разумеется, прежде чем приступить к краже денег, троян должен попасть на компьютер пользователя. Как и многие другие зловреды, Chthonic проникает на машины пользователей с помощью вредоносных веб-ссылок и почтовых вложений. В обоих случаях на компьютер жертвы загружается фальшивый DOC-файл, в котором содержится большое количество кода в виде текста, запускающего выполнение удаленной команды.
Для этой уязвимости в Microsoft Office производитель выпустил патч еще в апреле, поэтому троян не сможет заразить вовремя обновленные системы. Одним словом, для полной уверенности в том, что вас данная неприятность не постигнет, достаточно следовать стандартным правилам безопасности: не открывать подозрительные вложения и ссылки, использовать антивирус и вовремя устанавливать обновления.
