O trojan Chthonic ataca mais de 150 bancos em todo o mundo

Pesquisadores da Kaspersky Lab descobriram uma nova variação do perigoso trojan Zeus. Conhecido como Chthonic, seu nome faz uma referência aos espíritos ou divindades do submundo da mitologia grega. As autoridades afirmaram

Pesquisadores da Kaspersky Lab descobriram uma nova variação do perigoso trojan Zeus. Conhecido como Chthonic, seu nome faz uma referência aos espíritos ou divindades do submundo da mitologia grega. As autoridades afirmaram que este malware já atacou mais de 150 bancos e 20 sistemas de pagamento em 15 países.

O trojan Zeus, como o próprio nome sugere, é o rei do malware bancário. Ele surgiu pela primeira vez em 2007 e foi causando estragos nas contas bancárias online de todo o mundo. Em 2011, seus desenvolvedores jogaram a toalha e postaram seu código fonte para que todos pudessem ver. Tudo parecia indicar que esse seria o fim de Zeus, mas, na verdade o que ocorreu foi que a divulgação do código de Zeus fez com que outros grupos cibercriminosos criassem novas variações deste malware, tais como GameOver, Zitmo e outras ameaças.

Depois de infectar uma máquina, o Chthonic coleta informações do sistema, rouba senhas salvas e os arquivos do registro e habilita o acesso remoto ao sistema para que os hackers possam controlar a máquina a distância. A recoleção desta informação tem um propósito claro: furtar os dados bancários online para que os cibercriminosos possam acessar as contas das vítimas e realizar transações financeiras fraudulentas.

O Chthonic coleta informações do sistema, rouba senhas salvas e os arquivos do registro e habilita o acesso remoto ao sistema para que os hackers possam controlar a máquina a distância

Assim como os trojans bancários anteriores, o Chthonic é capaz de substituir a interface legítima dos bancos. Desta maneira, quando os usuários tentam iniciar a sessão na sua conta, terminam enviando de maneira involuntária suas credenciais aos cibercriminosos, sem se dar conta de que, na verdade, se trata de um site duplicado. Esta técnica é muito vantajosa para os hackers, já que também permite que eles obtenham o código único da autenticação de dois fatores, uma vez que os usuários também inserem o código que chega no seu telefone via SMS.

Atualmente, o Chthonic já afetou instituições bancárias no Reino Unido, Espanha, Estados Unidos, Rússia, Japão e Itália. No Japão, o malware está substituindo os avisos de segurança do banco com um script que permite que os cibercriminosos executem transações financeiras desde as contas das suas vítimas. Na Rússia, os usuários infectados nem sequer podem acessar seu site do banco porque o Chthonic redireciona os usuários para um site falso de phishing.

No entanto, é importante esclarecer que para que o roubo de credenciais aconteça, o usuário primeiro deve estar infectado com o trojan Chthonic. Assim como ocorre com o malware tradicional, o Chthonic se infiltra nos computadores através de links maliciosos e arquivos anexos no e-mail. Em ambos os casos, a infecção se produz quando o usuário descarrega no seu PC arquivos “.doc” infectados. Este documento contém um código malicioso que explora de maneira remota uma vulnerabilidade presente no Microsoft Office – que já tinha sido solucionada em abril deste ano. Isto quer dizer que o malware não poderá afetar computadores cujos sistemas operacionais estejam devidamente atualizados. Assim mesmo, os usuários que estão protegidos com alguns dos produtos da Kaspersky Lab também estão protegidos contra essa ameaça.

 

Tradução: Juliana Costa Santos Dias

 

Dicas