Trojaans programma op basis van ZeuS-doelen 150 banken, kan webcams kapen

Een nieuwe computer Trojan op basis van de beruchte ZeuS banking-malware richt zich op gebruikers van meer dan 150 banken en betalingssystemen van over de hele wereld, waarschuwen onderzoekers.

De nieuwe dreiging, genaamd Chthonic, is op basis van ZeusVM, een Trojaans programma dat in februari werd ontdekt en dat zelf een wijziging is van het veel oudere ZeuS-Trojaanse paard.

"Het Trojaanse paard is blijkbaar een evolutie van ZeusVM, hoewel het een aantal belangrijke veranderingen heeft ondergaan," beveiligingsonderzoekers van antivirus vendor Kaspersky Lab zei in een blogpost. "Chthonic maakt gebruik van dezelfde encrypterende factor als Andromeda-bots, hetzelfde versleutelingsschema als Zeus AES en Zeus V2 Trojans, en een virtuele machine die vergelijkbaar is met die in ZeusVM en KINS-malware."

[Lees meer: ​​Hoe u malware van uw kunt verwijderen Windows-pc]

Net als ZeuS is de belangrijkste functie van Chthonic het vermogen om bankwebsites heimelijk te wijzigen wanneer ze door slachtoffers op hun computer worden geopend. Deze techniek, beter bekend als webinjectie, wordt gebruikt om schurkenwebformulieren toe te voegen aan bankwebsites die slachtoffers om gevoelige informatie vragen, zoals creditcardgegevens of codes voor secundaire factoren.

Chthonic heeft echter een modulaire architectuur die cybercriminelen toelaat om de functionaliteit van de Trojan uit te breiden. De onderzoekers van Kaspersky Lab vonden Chthonic-modules ontworpen om systeeminformatie te verzamelen, lokaal opgeslagen wachtwoorden te stelen, toetsaanslagen vast te leggen, externe verbindingen met de computer mogelijk te maken via VNC, de geïnfecteerde computer te gebruiken als een proxyserver en video en geluid op te nemen via de webcam en microfoon van de computer.

Volgens Kaspersky Lab zijn er verschillende op Chthonic gebaseerde botnets met verschillende configuraties, wat erop wijst dat de malware door verschillende groepen wordt gebruikt. <> In het algemeen zijn de botnets waarvan we ons bewust zijn gericht op online banksystemen van meer dan 150 verschillende banken en 20 betalingssystemen in 15 landen, "aldus de onderzoekers van het bedrijf. "De cybercriminelen lijken het meest geïnteresseerd in banken in het VK, Spanje, de VS, Rusland, Japan en Italië."

Het nieuwe Trojan wordt hoofdzakelijk op twee manieren gedistribueerd: gedownload door een ander malwareprogramma genaamd Andromeda of door malafide e-mails die speciaal vervaardigde RTF-documenten die gebruikmaken van een in maart gepatchte Microsoft Word-kwetsbaarheid.

Chthonic is de volgende fase in de evolutie van ZeuS, dat een ontwikkelingsraamwerk is geworden voor makers van malware, aldus de onderzoekers van Kaspersky.

Gelanceerd in 2007, ZeuS werd al snel een van de meest populaire tools die cybercriminelen gebruiken, vooral omdat het werd verkocht op ondergrondse fora. Door de jaren heen werd het door veel bendes gebruikt om online bankreferenties van consumenten en bedrijven te stelen die vervolgens werden gebruikt om hun accounts te legen.

In 2011 lekte de ZeuS-broncode online nadat de hoofdontwikkelaar ermee stopte en gaf de code aan anderen. Hierdoor konden andere ontwikkelaars van malware gemakkelijk ZeuS aanpassen en op basis daarvan aangepaste bedreigingen maken, waaronder Trojan-programma's zoals Citadel, Ice IX, ZeusVM en Gameover Zeus.