El Troyano Chthonic Ataca Más de 150 Bancos de Todo el Mundo

19 Dic 2014

Los investigadores de Kaspersky Lab descubrieron una nueva variante del  peligroso Troyano Zeus. Se llama Chthonic y su nombre hace referencia a las deidades del inframundo de la mitología griega. Las autoridades afirman que este malware ya atacó más de 150 bancos y 20 sistemas de pago en 15 países de todo el mundo.

Chtonic---a-new-version-of-banking-trojan-Zeus

El Troyano Zeus, como su nombre lo sugiere, es el rey del malware bancario. Apareció por primera vez en 2007 y, desde entonces, ha estado causando estragos en cientos de bancos de todo el mundo. En 2011, los desarrolladores de este temible virus hicieron público su código en Internet para que todos pudieran verlo. Si bien todo parecía indicar que ese sería el fin de Zeus, lo que en verdad ocurrió fue que la divulgación del código de Zeus llevó a que otros grupos cibercriminales crearan nuevas variantes de este malware. Así es como nació la botnet Gamover, Zitmo y otras amenazas.

Luego de infectar una máquina, Chthonic recolecta toda la información de la PC, roba las contraseñas guardadas y los archivos del registro y habilita el acceso remoto al sistema para que los hackers puedan controlar el equipo a distancia. La recolección de esta información tiene un propósito claro: robar las credenciales bancarias para que los criminales puedan acceder a las cuentas de las víctimas y realizar transacciones de dinero a voluntad.

Chthonic recolecta toda la información de la PC, roba las contraseñas guardadas y los archivos del registro y habilita el acceso remoto al sistema para que los hackers puedan controlar el equipo a distancia.

Al igual que los troyanos bancarios más sofisticados, Chthonic es capaz de reemplazar la interfaz legítima de los bancos. De esta manera, cuando los usuarios intentan iniciar sesión en su cuenta, terminan enviando de manera invonluntaria sus credenciales a los criminales, sin darse cuenta de que, en realidad, se trata de un sitio duplicado. Esta técnica es muy ventajosa para los hackers, ya que también les permite a los delincuentes obtener el código único de la autenticación de dos factores, dado que los usuarios también ingresan la clave que les llega a su teléfono por SMS.

Actualmente, Chthonic ya afectó instituciones bancarias del Reino Unido, España, Estados Unidos, Rusia, Japón e Italia, entre otros países. En Japón, el malware logró traspasar la seguridad de los sistemas bancarios con un script que le permite realizar transacciones financieras desde las cuentas de sus víctimas. En Rusia, en tanto, los usuarios no pueden ni siquiera ingresar a sus cuentas personales de homebanking, debido a que el Troyano redirige constantemente a las víctimas a un sitio web phishing.

Es importante aclarar que para que el robo de credenciales tenga lugar, el usuario primero debe estar infectado con el troyano Chthonic. Tal y como ocurre con el malware tradicional, Chthonic se infiltra en las computadoras a través de enlaces maliciosos y archivos adjuntos en los emails. En ambos casos, la infección se produce cuando el usuario descarga a su PC un archivos “.doc” infectado. Este documento contiene un código malicioso que explota de manera remota una vulnerabilidad presenta en Microsoft Office -que ya había sido solucionada en abril de este año-. Esto quiere decir que el malware no podrá afectar computadoras cuyos sistemas operativos estén debidamente actualizados. Asimismo, los usuarios que estén protegidos con alguno de los productos de Kaspersky Lab también se encuentran a salvo de esta amenaza.

 

Traducido por: Guillermo Vidal Quinteiro