Kaspersky Lab descubre Chthonic: una nueva cepa

del Troyano Zeus que ataca a sistemas bancarios en lnea

de todo el mundo

Kaspersky Lab descubre Chthonic: Una

nueva cepa del Troyano Zeus que ataca a
sistemas de banca en lnea de todo el
mundo
Una nueva e importante amenaza de malware dirigido a sistemas de banca en lnea y a sus clientes
ha sido detectada por los analistas de seguridad de Kaspersky Lab. Identificado como una evolucin
del Troyano Zeus, Trojan-Banker.Win32.Chthonic, o Chthonic para abreviar, se sabe que ha
afectado a ms de 150 bancos diferentes y 20 sistemas de pago en 15 pases, y parece estar
destinado principalmente a atacar a instituciones financieras en el Reino Unido, Espaa, Estados
Unidos, Rusia, Japn e Italia.
Aunque Chthonic an no ha sido detectado en Latinoamrica, Dmitry Bestuzhev, Director del
Equipo de Investigacin y Anlisis para Kaspersky Lab Amrica Latina, piensa que su aparicin
en la regin es solo una cuestin de tiempo. Como lo hemos visto antes con otras amenazas,
anticipamos que Chthonic se expandir hacia nuestra regin pero de la mano de cibercriminales
locales que adoptarn las tcnicas o comprarn las tecnologas de los que estn detrs de este
malware para difundirlo a nivel regional. Dichos esquemas de delinquir son muy populares en nuestra
regin e inclusive, se han utilizado hasta con el mismo troyano bancario Zeus, seal.
Chthonic aprovecha funciones de las computadoras como la cmara web y el teclado para robar
credenciales bancarias en lnea tales como contraseas guardadas. Los atacantes tambin pueden
conectarse a la computadora de forma remota y ordenarle que lleve a cabo las transacciones.
Sin embargo, el arma principal de Chthonic es la inyeccin va web. Esto permiten al Troyano insertar
su propio cdigo e imgenes en las pginas del banco que carga el navegador de la computadora, lo
que le permite a los atacantes obtener el nmero de telfono de la vctima, las contraseas de un solo
uso y nmeros PIN, as como los detalles de inicio de sesin y contrasea introducidos por el usuario.
Las vctimas se infectan a travs de enlaces web o archivos adjuntos de correo electrnico que
contienen un documento con la extensin .DOC el cual establece una "puerta trasera" para el cdigo
malicioso. El archivo adjunto contiene un documento RTF especialmente diseado para aprovechar la
vulnerabilidad CVE-2014-1761 en productos de Microsoft Office.
Una vez descargado, el cdigo malicioso que contiene un archivo de configuracin cifrado se inyecta
en el proceso msiexec.exe y se instalan varios mdulos maliciosos en la mquina.

Kaspersky Lab descubre Chthonic: una nueva cepa

del Troyano Zeus que ataca a sistemas bancarios en lnea
de todo el mundo
Hasta ahora Kaspersky Lab ha descubierto mdulos que pueden recoger informacin del sistema,
robar contraseas guardadas, registrar teclas pulsadas, permitir el acceso remoto, y grabar vdeo y
sonido a travs de la cmara web y el micrfono, en caso que la computadora incluya esas funciones.
En el caso de uno de los bancos japoneses atacados, el malware es capaz de ocultar las
advertencias del banco e inyectar, en cambio, un script que permite a los atacantes realizar diversas
transacciones utilizando la cuenta de la vctima.
Los clientes afectados de los bancos rusos son recibidos por pginas bancarias totalmente
fraudulentas tan pronto como inician la sesin. Esto se logra mediante el Troyano que crea un iframe
con una copia de phishing del sitio web que tiene el mismo tamao que la ventana original.
Chthonic comparte algunas similitudes con otros Troyanos. Utiliza el mismo archivo cifrador y de
descarga que Andrmeda, el mismo esquema de cifrado que los Troyanos Zeus AES y Zeus V2, as
como una mquina virtual similar a la usada en ZeusVM y el malware KINS.
Afortunadamente, muchos fragmentos del cdigo utilizado por Chthonic para realizar inyecciones web
ya no se pueden utilizar, debido a que los bancos han cambiado la estructura de sus pginas y, en
algunos casos, tambin los dominios.

"El descubrimiento de Chthonic confirma que el Troyano ZeuS sigue evolucionando. Los autores de
malware estn haciendo pleno uso de las tcnicas ms modernas, auxiliados considerablemente por
la filtracin del cdigo fuente de ZeuS. Chthonic es la siguiente fase en la evolucin de ZeuS. Utiliza
el cifrado de Zeus AES, una mquina virtual similar a la utilizada por ZeusVM y KINS, y el
descargador de Andrmeda - para atacar cada vez ms instituciones financieras y a sus clientes
inocentes de formas cada vez ms sofisticadas. Creemos que sin duda aparecern nuevas variantes
de ZeuS en el futuro, y nosotros continuaremos rastreando y analizando cualquier amenaza para
mantenernos un paso por delante de los ciberdelincuentes", dijo Yury Namestnikov, Analista Senior
de Malware en Kaspersky Lab y uno de los investigadores que trabaj en la investigacin de la
amenaza.
Para obtener ms informacin, visite Securelist.com

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado ms grande del mundo de soluciones de proteccin para
endpoints. La compaa est clasificada entre los cuatro principales proveedores de soluciones de
seguridad para los usuarios de endpoints*. Durante sus ya ms de 17 aos de historia, Kaspersky
Lab contina siendo una compaa innovadora en la seguridad informtica y ofrece soluciones
efectivas en seguridad digital para las grandes compaas, pequeas y medianas empresas y
consumidores. Kaspersky Lab, a travs de su compaa de holding registrada en el Reino Unido,
opera actualmente en casi 200 pases y territorios en todo el mundo, ofreciendo proteccin para ms

Kaspersky Lab descubre Chthonic: una nueva cepa

del Troyano Zeus que ataca a sistemas bancarios en lnea
de todo el mundo

de 300 millones de usuarios

visite http://latam.kaspersky.com.

nivel

global.

Para

obtener

mayor

informacin,

*La compaa logr el cuarto lugar en la clasificacin IDC de los Ingresos por Seguridad de Endpoints en el
Mundo por Proveedor, 2012. La clasificacin fue publicada en el reporte IDC del "Pronstico Mundial de Endpoint
Security 2013-2017 y Acciones de Proveedores 2012" - (IDC #242618, agosto de 2013). El reporte calific a los
proveedores de software segn sus ganancias por las ventas de soluciones de seguridad de endpoint en 2012.