• Chthonic: Alto Potencial de uma Derivação do ZeuS

    Publicado em 26-01-2015 15:00
    0 Comentários Comentários
    Em 2014, pesquisadores da Kaspersky descobriram a existência de um novo Trojan bancário, que chamou a atenção deles por dois motivos: em primeiro lugar, a praga é muito interessante do ponto de vista técnico, porque usa um novo método para carregar módulos. Em segundo lugar, ao fazerem uma análise de seus arquivos de configuração, foi mostrado que o malware tem como alvo um grande número de sistemas de online-banking, e isso envolve mais de 150 bancos e 20 diferentes sistemas de pagamento em 15 países. Bancos no Reino Unido, a Espanha, EUA, Rússia, Japão e Itália compõem a maioria de seus alvos potenciais. Assim, produtos de segurança da Kaspersky Lab detectaram e identificaram o novo malware bancário como Trojan-Banker.Win32.Chthonic. Este cavalo de Tróia é, aparentemente, uma evolução do ZeusVM, embora tenha sofrido uma série de mudanças significativas. Chthonic usa o mesmo mecanismo de criptografia como a botnet Andrômeda, o mesmo esquema de criptografia AES do Zeus e Zeus Trojan V2, e uma máquina virtual semelhante a que foi utilizada nos malwares ZeusVM e KINS.


    Processo de Infecção

    Os pesquisadores puderam detectar várias técnicas utilizadas para infectar máquinas da vítima com Trojan-Banker.Win32.Chthonic, dentre elas enviar e-mails que contêm exploits; fazer download do malware comprometendo máquinas da vítima usando o botnet Andromeda (Backdoor.Win32.Androm na classificação Kaspersky Lab). Ao enviar mensagens que contêm um exploit, os cybercriminosos anexam um documento com formato .RTF especialmente criado, projetado para explorar a vulnerabilidade CVE-2014-1761 em produtos do Microsoft Office. O arquivo tem uma extensão .doc para torná-la menos suspeito.




    Em caso de exploração de uma vulnerabilidade - de forma bem sucedida -, um downloader para o cavalo de Tróia é baixado para o computador da vítima. No exemplo que aparece acima, o arquivo é baixado a partir de um site comprometido - hxxp://valtex-guma.com.ua/docs/tasklost.exe. Como foi possível ver, o botnet Andromeda se encarregou do downloader a partir do endereço hxxp: //globalblinds.org/BATH/lider.exe.


    Fazendo Download do Trojan

    Uma vez baixado, o downloader injeta seu código no processo msiexec.exe. Ao que tudo indica, o downloader é baseado no código-fonte do bot Andromeda, embora os dois utilizem diferentes protocolos de comunicação. O downloader Chthonic contém um arquivo de configuração criptografado (encriptação semelhante, usando uma máquina virtual foi utilizada no KINS e no ZeusVM). Os principais dados contidos no arquivo de configuração incluem uma lista de servidores С & С, uma chave de 16 bytes para criptografia RC4, UserAgent, id botnet.

    Depois de realizar a decriptografia do arquivo de configuração, as partes individuais são salvos em um stack - com o seguinte formato:



    Isto é feito sem um processo "passing pointers". O botnet encontra os valores necessários ao examinar cada elemento "heap", utilizando a função "RtlWalkHeap" e combinando 4 bytes à relevância de um "Magic Value". O downloader reúne um pacote de dados do sistema, que é bem típico do Zeus Trojan (local_ip, bot_id, botnet_id, os_info, lang_info, bot_uptime e alguns outros) e vai criptografá-lo primeiro usando XorWithNextByte e, em seguida, utilizando RC4. Em seguida, o pacote é enviado a um dos endereços C & C especificados no arquivo de configuração. Em resposta a isso, o malware recebe um carregador estendido - um módulo em um formato típico do Zeus, ou seja, não é um arquivo PE padrão, mas um conjunto de seções que são mapeados para a memória pelo próprio loader: código executável, relocation table, point of entry, exportação de funções e import table.

    Importante notar-se que a secção de importações inclui apenas API function hashes. A tabela de importação é criada com a utilização do método Stolen Bytes, usando um disassembler incluído no loader, especialmente para esta finalidade. Anteriormente, foi possível observar uma configuração semelhante de importação no botnet Andrômeda. Além do mais, o loader estendido também contém um arquivo de configuração criptografado usando a máquina virtual. Ele carrega o módulo principal do cavalo de Tróia, que por sua vez faz o download de todos os outros módulos. No entanto, o próprio carregador estendido usa AES para criptografia, e algumas seções são embaladas usando UCL. Os principais loaders se encarregam de módulos adicionais e estabelecem as tabelas de importação da mesma forma que o downloader Chthonic original, ou seja, esta variante do ZeuS absorveu parte da funcionalidade do Andromeda.


    Injections

    As Web Injections são a principal arma do Chthonic. Isso porque elas permitem que o Trojan passe a inserir seu próprio código nas imagens das páginas que são carregadas pelo browser. Esta situação, permite que os atacantes possam obter o número de telefone da vítima, senhas de uso único e PINs, além do login e senha digitados pela vítima. Por exemplo, para um dos bancos japoneses, o Trojan esconde avisos do banco e injeta um script que permite que os atacantes possam realizar várias operações com a conta da vítima:



    Há ainda um script que também pode exibir várias janelas falsas, a fim de obter as informações necessárias para os atacantes. Além de tudo isso, os pesquisadores da Kaspersky, através de suas análises sobre ataques contra os clientes de bancos russos, descobriram um cenário de Web Injection incomum. Ao abrir uma página de on-line banking Web no navegador, todo o conteúdo da página é falsificado, e não apenas partes dela como em um ataque normal. Do ponto de vista técnico, o Trojan cria um iframe com uma cópia de phishing do site que tem o mesmo tamanho da janela original.


    Coverage

    Existem várias botnets com diferentes arquivos de configuração. No geral, há a consciência de que botnets tem como alvo os sistemas bancários on-line de mais de 150 bancos e 20 diferentes sistemas de pagamento distribuídos em 15 países. Pelo que foi possível perceber, os cybercriminosos parecem mais interessados ​​em bancos no Reino Unido, na Espanha, nos EUA, Rússia, no Japão e na Itália. É interessante notar que, apesar do grande número de alvos na lista, muitos fragmentos de código utilizados pelo Trojan para realizar essas injeções, não podem mais ser usados, porque os bancos mudaram a estrutura de suas páginas e, em alguns casos, os domínios também. Deve-se notar que foram vistos alguns desses fragmentos em arquivos de configuração de outros bots (por exemplo, Zeus V2) há alguns anos.


    Conclusão

    Podemos ver que o Trojan ZeuS ainda está ativamente em evolução, e suas novas implementações aproveitam as técnicas mais avançadas desenvolvidas por criadores de malware. Isto é significativamente alavancado pelo fato do código fonte do trojan ZeuS ter sido vazado. Como resultado, tornou-se uma espécie de "framework" para os criadores de malware, que pode ser usado por qualquer pessoa e pode ser, facilmente, adaptado às novas necessidades dos cibercriminosos. O novo Trojan - Chthonic - é o próximo estágio na evolução do ZeuS: ele usa criptografia AES do Zeus, uma máquina virtual semelhante ao utilizado por ZeusVM e KINS, e o downloader Andromeda. O que tudo isto significa é que, sem dúvida, surgirão novas variantes do ZeuS no futuro.


    Saiba Mais:

    [1] Secure List http://securelist.com/blog/virus-wat...ation-of-zeus/
    + Enviar Comentário