Trojan-Banker.Win32.Chthonic

Classe pour les parents: TrojWare

Les chevaux de Troie sont des programmes malveillants qui exécutent des actions qui ne sont pas autorisées par l'utilisateur: ils suppriment, bloquent, modifient ou copient les données et perturbent les performances des ordinateurs ou des réseaux informatiques. Contrairement aux virus et aux vers, les menaces qui tombent dans cette catégorie sont incapables de se reproduire ou de s'autoreproduire. Les chevaux de Troie sont classés en fonction du type d'action qu'ils effectuent sur un ordinateur infecté.

Classe: Trojan-Banker

Les programmes Trojan-Banker sont conçus pour dérober des données de compte utilisateur relatives aux systèmes bancaires en ligne, aux systèmes de paiement électronique et aux systèmes de cartes plastiques. Les données sont ensuite transmises à l'utilisateur malveillant contrôlant le cheval de Troie. Le courrier électronique, le protocole FTP, le Web (y compris les données d'une demande) ou d'autres méthodes peuvent être utilisés pour le transit des données volées.

Plus d'informations

Plateforme: Win32

Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.

Description

La recherche montre que cette famille de logiciels malveillants est une émanation de malware ZeusVM. Cependant, la famille Trojan-Banker.Win32.Chthonic est significativement différente de ses prédécesseurs. Dans ce nouveau logiciel malveillant, les cybercriminels utilisent des techniques d'obfuscation de code observées précédemment dans la famille des robots Andromeda. Pour compliquer les tentatives d'analyse du malware et de son trafic réseau, les cybercriminels chiffrent les composants malveillants (tels que les fichiers de configuration) en utilisant les mêmes algorithmes et méthodes que ceux utilisés avec les chevaux de Troie Zeus AES et Zeus V2. Comme avec la famille de logiciels malveillants ZeusVM (également connu sous le nom KINS), Trojan-Banker.Win32.Chthonic crypte ses fichiers à l'aide d'une machine virtuelle. Les chevaux de Troie de cette famille sont distribués par des cybercriminels dans des messages de spam conçus pour exploiter les vulnérabilités, ou par le robot Andromeda, qui télécharge le logiciel malveillant sur un ordinateur infecté. Le chargeur initial Trojan-Banker.Win32.Chthonic télécharge un chargeur plus avancé, qui télécharge ensuite le module principal du cheval de Troie. Les chevaux de Troie de cette famille ont une architecture modulaire, avec un composant principal qui supporte les modules téléchargeables suivants: • info, recueille des informations sur l'ordinateur infecté. • poney, vole les mots de passe enregistrés. • klog, intercepte les frappes. • http, insère un script malveillant dans les pages Web et intercepte les données saisies dans les formulaires en ligne dans les navigateurs Web. • vnc, permet aux cybercriminels de se connecter à distance à l'ordinateur infecté et d'effectuer des transactions bancaires. • socks, un serveur proxy SOCKS distinct. • cam_recorder, permet aux cybercriminels d'enregistrer de la vidéo et de l'audio à partir de la webcam et du microphone d'un ordinateur.

Top 10 des pays avec le plus d'utilisateurs attaqués (% du total des attaques)

En savoir plus

Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com