„ZeuS“ grįžo: „Kaspersky Lab“ aptiko naują vartotojų internetinėms sąskaitoms gresiantį pavojų

„Kaspersky Lab“ aptiko naują rimtą internetinės bankininkystės vartotojams gresiantį pavojų.

Virusas „Chthonic“, liūdnai pagarsėjusio bankinio „Trojos“ viruso „ZeuS“ modifikacija, gali atakuoti daugiau nei 150 bankų ir 20 mokėjimo sistemų 15 pasaulio šalių. Didžiausias smūgis teko Rusijai, Didžiajai Britanijai, Ispanijai, JAV, Italijai ir Japonijai.

Viruso „Chthonic“ užduotis – internetinės bankininkystės sistemų slaptažodžių vagystė, taip pat kitos konfidencialios informacijos, suteikiančios prieigą prie vartotojo sąskaitos valdymo (konkrečiai PIN, vienkartinių slaptažodžių, telefono numerių). Virusas naudoja internetines svetaines, turinčias duomenų bazes: jungiantis prie banko internetinio puslapio, kurio adresas yra jo konfigūravimo faile, virusas naršyklėje prideda savo kenkėjišką kodą prie html puslapio. Taip apgavikai pakeičia puslapio vaizdą ir elgesį, kad surinktų kuo daugiau juos dominančios informacijos. Pavyzdžiui, Rusijoje atakuojami vartotojai susidūrė su visiškai padirbtais internetiniais bankų puslapiais – virusas originalų turinį keitė rėmeliu su netikra tinklalapio kopija.

Laimė, daugelis internetinių svetainių, turinčių duomenų bazes, kurias naudojo „Chthonic“, jau negali būti taikomi apgavikų, kadangi bankai atnaujino savo internetinių puslapių struktūrą, o kai kuriais atvejais – ir pačius jų adresus.

„Chthonic“ platinamas per kenkėjiškus priedus elektroniniuose laiškuose, o į kompiuterį patenka per „Microsoft Office“ priedų pažeidžiamumus CVE-2014-1761. Parsisiųstas virusas įkrauna kitus kenkėjiškus modulius, reikalingus informacijai pavogti.

„Chthonic“ – viena iš „Trojos“ viruso „ZeuS“ evoliucijos šakų, ir jo aptikimas patvirtina, kad šis pagarsėjęs virusas vis dar aktyviai plinta. Viruso kūrėjai yra pasitelkę naujausias technologijas, ir jiems labai padėjo „ZeuS“ viruso išeitino kodo nutekinimas. Pavyzdžiui, viruse „ Chthonic“ taikomas „ZeuS AES“ šifravimas, virtuali mašina, panaši į tą, kuri buvo naudojama „ZeuSVM“ ir „KINS“, taip pat įkrovėjas „Andromeda“. Esame tikri, kad ateityje dar susidursime su nemažai „ZeuS“ modifikacijų, todėl toliau atidžiai tiriame ir analizuojame naujas grėsmes, atnaujiname savo technologijas, kad galėtume joms pasipriešinti“, – pasakoja Jurijus Namestnikovas, „Kaspersky Lab“ antivirusų ekspertas.