Trojan-Banker.Win32.Chthonic

Untersuchungen zeigen, dass diese Malware-Familie ein Ableger von ZeusVM-Malware ist. Die Trojan-Banker.Win32.Chthonic-Familie unterscheidet sich jedoch erheblich von ihren Vorgängern.
In dieser neueren Malware verwenden Cyberkriminelle Code-Verschleierungstechniken, die zuvor in der Andromeda-Bot-Familie beobachtet wurden. Um die Analyse der Malware und des Netzwerkverkehrs zu erschweren, verschlüsseln Cyberkriminelle Malware-Komponenten (z. B. Konfigurationsdateien) mit den gleichen Algorithmen und Methoden wie die Zeus AES- und Zeus V2-Trojaner. Wie bei der ZeusVM-Malware-Familie (auch bekannt als KINS) verschlüsselt Trojan-Banker.Win32.Chthonic seine Dateien mit Hilfe einer virtuellen Maschine.

Trojaner dieser Familie werden von Cyberkriminellen in Spam-Nachrichten verbreitet, die Schwachstellen ausnutzen sollen, oder vom Andromeda-Bot, der die Malware auf einen infizierten Computer herunterlädt.

Der anfängliche Trojan-Banker.Win32.Chthonic Loader lädt einen fortgeschritteneren Loader herunter, der dann das Hauptmodul des Trojaners herunterlädt.

Trojaner in dieser Familie haben eine modulare Architektur mit einer Hauptkomponente, die die folgenden herunterladbaren Module unterstützt:
• info, sammelt Informationen über den infizierten Computer.
• Pony, stiehlt gespeicherte Passwörter.
• klog, fängt Tastenanschläge ab.
• http, fügt ein schädliches Skript in Webseiten ein und fängt Daten ab, die in Online-Formularen in Webbrowsern eingegeben wurden.
• vnc ermöglicht Cyberkriminellen, sich remote mit dem infizierten Computer zu verbinden und Banktransaktionen durchzuführen.
• Socken, ein separater SOCKS-Proxy-Server.
• cam_recorder ermöglicht Cyberkriminellen die Aufzeichnung von Video- und Audiodaten von der Webcam und dem Mikrofon eines Computers.

Top 10 Länder mit den meisten angegriffenen Nutzern (% aller Angriffe)

* Prozentsatz aller einzigartigen Kaspersky-Lab-Benutzer weltweit, die von dieser Malware angegriffen werden