Осенью этого года «Лаборатория Касперского» обнаружила банковский троян Chthonic, который использует новый способ загрузки модулей и нацелен на более чем 150 различных систем онлайн-банкинга в Великобритании, Испании, США, России, Японии и Италии. Несмотря на большое количество целей, многие фрагменты кода, используемые трояном для инъекции уже не работоспособны, т.к. банки сменили структуру своих страниц, а в некоторых случаях и сам домен. Эксперты предполагают, что Chthonic является эволюцией ZeusVM, совмещенным с элементной базой Andromeda. В Chthonic применяется тот же криптор, что и у ботов Andromeda, шифрование, как в троянах Zeus AES и Zeus V2, и виртуальная машина, подобная той, что используется в зловредах ZeusVM или KINS. Распространяется Trojan-Banker.Win32.Chthonic через рассылку спама с вредоносным DOC-вложением (CVE-2014-1761) или загрузкой ботом Andromeda (Backdoor.Win32.Androm). Скачанный загрузчик Andromeda внедряет свой код в процесс "msiexec.exe". Загрузчик, похоже, основан на исходных кодах бота Andromeda, однако протокол общения у них отличается. Загрузчик Chthonic содержит зашифрованный конфигурационный файл (список С&С серверов, 16-байтный ключ для RC4 шифрования, UserAgent, botnet id). Загрузчик формирует типичный для ZeuS-трояна пакет с данными о системе и шифрует его сначала с помощью XorWithNextByte, а затем с помощью RC4. Далее пакет отправляется на один из записанных в конфигурационном файле адресов командных центров. В ответ зловред получает расширенный загрузчик – модуль в формате данных, типичном для ZeuS, т.е. не стандартный PE-файл, а именно набор секций, которые отображаются в память самим загрузчиком. Следует отметить, что секция импорта представлена лишь хешами от имен API функций. Сама таблица импорта настраивается с применением метода Stolen Bytes, для чего в загрузчике есть встроенный дизассемблер. Похожую настройку импорта ранее применялась в Andromeda. Список функций Chthonic позволяет различными способами воровать данные для доступа к системам онлайн-банкинга. Главным оружием трояна Chthonic являются веб-инъекции и поддельные формы с целью получить финансовую информацию. Помимо этого, модули VNC и cam_recorder позволяют злоумышленникам удаленно подключаться и совершать транзакции с зараженного ПК, а также записывать видео и звук, если на компьютере есть веб-камера и микрофон. Троян ZeuS не перестает активно развиваться, и в его новых реализациях используются передовые достижения создателей вредоносных программ. Во многом этому способствует утечка исходных кодов ZeuS. Таким образом, в мире создателей вредоносных программ он стал чем-то вроде фреймворка, который доступен всем желающим и легко может быть адаптирован под новые потребности злоумышленников. Новый троян Chthonic представляет собой очередной этап эволюции ZeuS: он использует шифрование Zeus AES, виртуальную машину, подобную той, что была в ZeusVM и KINS, и загрузчик Andromeda.
Источник