Chthonic wykorzystuje funkcje komputerów, w tym kamerę internetową i klawiaturę, do kradzieży danych uwierzytelniających transakcje bankowości online, takich jak zapisane hasła. Cyberprzestępcy mogą również łączyć się zdalnie z komputerem i wydawać mu polecenia przeprowadzania transakcji.
Jednak główną bronią trojana Chthonic są narzędzia pozwalające na podmienianie elementów wyświetlanych stron internetowych. Dzięki nim szkodnik może umieścić własny kod i obrazy w stronach bankowych ładowanych przez przeglądarkę komputera, co pozwala atakującym uzyskać numer telefonu ofiary, jednorazowe hasła oraz PIN-y, jak również wszelkie loginy i hasła wprowadzane przez użytkownika.
Ofiary są infekowane poprzez odsyłacze internetowe lub załączniki e-mail zawierające dokument z rozszerzeniem.DOC, który następnie otwiera “tylne drzwi” dla szkodliwego kodu. Załącznik kryje specjalnie stworzony dokument RTF, który wykorzystuje lukę CVE-2014-1761 w pakiecie Microsoft Office.
Po pobraniu szkodliwy kod, który zawiera zaszyfrowany plik konfiguracyjny, jest wstrzykiwany do procesu msiexec.exe, a na maszynie zostaje zainstalowanych kilka szkodliwych modułów.
Jak dotąd pracownicy z Kaspersky Lab wykrył moduły, które potrafią zbierać informacje systemowe, kraść zapisane hasła, przechwytywać znaki wprowadzane z klawiatury, umożliwiać zdalny dostęp i nagrywać obraz oraz dźwięk przy użyciu kamery i mikrofonu, jeśli takie istnieją.
W przypadku jednego z zaatakowanych japońskich banków, szkodnik potrafił ukrywać ostrzeżenia banku i zamiast tego wstrzykiwać skrypt, który pozwalał atakującym przeprowadzać różne transakcje przy użyciu konta ofiary.
Klienci rosyjskich banków, którzy stanowią cel tego trojana, jak tylko zalogują się, są witani oszukańczą stroną bankową. W tym celu trojan tworzy ramkę iframe z phishingową kopią strony internetowej, która posiada ten sam rozmiar co oryginalne okno.
Chthonic posiada kilka podobieństw z innymi trojanami. Wykorzystuje ten sam moduł szyfrujący co boty Andromeda, ten sam schemat szyfrowania co trojany ZeuS AES i Zeus V2 oraz maszynę wirtualną podobną do tej wykorzystywanej w szkodnikach ZeusVM i KINS.
Na szczęście, wiele fragmentów kodu stosowanego przez trojana Chthonic w celu wykonywania wstrzyknięć sieciowych nie może już być wykorzystywanych, ponieważ banki zmieniły strukturę swoich stron, a w niektórych przypadkach również domeny internetowe.
“Wykrycie trojana Chthonic potwierdza aktywną ewolucję trojana ZeuS. Twórcy szkodliwego oprogramowania w pełni wykorzystują nowoczesne techniki, w czym w dużym stopniu pomógł im wyciek kodu źródłowego ZeuSa. Chthonic stanowi kolejną fazę w ewolucji – wykorzystuje szyfrowanie AES ZeuSa, wirtualną maszynę podobną do tej, jaką stosuje ZeusVM i KINS, oraz moduł pobierający szkodliwy kod – aby atakować coraz więcej instytucji finansowych oraz klientów przy użyciu wyrafinowanych metod. Uważamy, że w przyszłości z pewnością pojawią się nowe warianty ZeuSa i nadal będziemy śledzić oraz analizować każde zagrożenie, aby móc wyprzedzać o krok cyberprzestępców” – powiedział Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab, i jeden z badaczy, który uczestniczyli w badaniu tego nowego zagrożenia.