Trojan-Banker.Win32.Chthonic

Výzkum ukazuje, že tato malwarová rodina je odrazem škodlivého softwaru ZeusVM. Nicméně rodina Trojan-Banker.Win32.Chthonic se výrazně liší od svých předchůdců.
V tomto novějším malwaru počítačoví zločinci používají techniky obfuscování kódu, které byly dříve zaznamenány v rodině bot Andromeda. Pro zkomplikování pokusů o analýzu malware a jeho síťové komunikace, kybernetické zločiny šifrují škodlivé komponenty (jako jsou konfigurační soubory) pomocí stejných algoritmů a metod, které jsou vidět u trojských koní Zeus AES a Zeus V2. Stejně jako v případě rodiny malware ZeusVM (známé také jako KINS), Trojan-Banker.Win32.Chthonic šifruje své soubory pomocí virtuálního počítače.

Trojice této rodiny jsou šíření kybernetickými v spamových zprávách určených k zneužití zranitelných míst nebo botou Andromeda, která stáhne malware na infikovaný počítač.

Původní zavaděč Trojan-Banker.Win32.Chthonic stáhne pokročilejšího nakladače, který pak stáhne hlavní modul Trojan.

Trojští v této rodině mají modulární architekturu s hlavní komponentou, která podporuje následující stahovatelné moduly:
• info, shromažďuje informace o infikovaném počítači.
• poník, ukradl uložená hesla.
• klog, zachycuje stisknutí kláves.
• http, vloží škodlivý skript do webových stránek a zachycuje data zadaná do on-line formulářů ve webových prohlížečích.
• vnc umožňuje počítačovým zločincům vzdáleně se připojit k infikovanému počítači a provádět bankovní transakce.
• ponožky, samostatný proxy server SOCKS.
• Cam_recorder, umožňuje počítačovým zločincům nahrávat video a zvuk z webové kamery a mikrofonu počítače.

Geografická distribuce útoků Trojan-Banker.Win32.Chtonická rodina

Zeměpisné rozložení útoků v období od 3. června 2015 do 03.6.2016

Top 10 zemí s nejvíce napadenými uživateli (% z celkového počtu útoků)

* Procento všech unikátních uživatelů Kaspersky napadených tímto malwarem po celém světě