Une variante de Chthonic Zeus cible les utilisateurs de services bancaires en ligne partout dans le monde

Une nouvelle variante du cheval de Troie Zeus a émergé et cible les comptes de clients de 150 banques dans 15 pays à travers le monde.

Zeus, comme son nom le suggère, est une sorte de malware bancaire. Il est d’abord apparu en 2007 et sème depuis la pagaille sur les comptes bancaires en ligne. En 2011, ses développeurs ont jeté l’éponge et ont posté son code source publiquement. Cela aurait pu être la fin de Zeus mais c’est en fait le contraire qui s’est produit. La publication du code source de Zeus a rendu les programmeurs encore plus forts et leur a permis de créer de nombreuses variations telles que GameOver, Zitmo et bien d’autres grâce à sa structure personnalisable.

Après avoir infecté une machine, Chthonic collecte les informations du système, vole des mots de passe, enregistre les frappes de clavier, donne accès à l’ordinateur à distance aux pirates et aussi la possibilité d’activer l’appareil photo ou d’enregistrer le son des ordinateurs activités. Enfin, l’objectif collectif de ces fonctionnalités est double : voler des identifiants bancaires en ligne et permettre aux pirates de prendre le contrôle des machines infectées dans le but de réaliser des transactions financières frauduleuses.

 

Les chercheurs de Kaspersky Lab ont découvert une nouvelle variante du célèbre cheval de Troie Zeus. Il s’appelle Chthonic et cible 150 banques et 20 systèmes de paiement différents dans 15 pays.

Comme bien d’autres chevaux de Troie bancaires, Chthonic déploie des techniques d’injection malveillantes sur des sites Web par des images et des codes personnalisés. Les consommateurs non-méfiants fourniront alors leurs identifiants bancaires aux criminels et ne réaliseront pas que la page de leur banque a été remplacée par un double malveillant. Un avantage de cette méthode est que les criminels sont aussi capables de voler les seconds facteurs d’authentification, comme les mots de passe uniques et les codes SMS, lorsque l’utilisateur les rentre dans leur navigateur compromis, et ce en temps réel.

Néanmoins, avant que le vol des identifiants n’ait lieu, l’utilisateur doit d’abord être infecté par le malware Chthonic lui-même. Comme c’est souvent le cas avec tous les malwares, Chthonic infiltre les machines des utilisateurs via des liens malveillants et de pièces jointes dans des e-mails. Dans les deux cas, l’attaque télécharge un fichier .DOC malveillant sur la machine de la victime. Le document contient un code en Rich Text Format qui exploitera une faille dans le code d’exécution de Microsoft Office qui a été réparée en avril. Le malware ne fonctionnera  correctement sur les machines mises à jour. Les utilisateurs des produits de sécurité Kaspersky sont également protégés de cette menace.

Chthonic cible principalement les institutions au Royaume-Uni, en Espagne, aux États-Unis, en Russie, au Japon et en Italie. Au Japon, le malware contourne les alertes de sécurité des banques grâce à un script qui permet aux pirates de réaliser des transactions sur les comptes des utilisateurs. En Russie, les utilisateurs infectés ne peuvent même pas accéder à leur site bancaire en ligne car Chthonic injecte un iFrame qui redirige les utilisateurs vers une fausse page d’hameçonnage très convaincante.

Conseils