JAKARTA, PCplus – Makin hari ancaman malware makin ganas, khususnya yang menyasar sistem perbankan online dan pelanggannya. Analis keamanan Kaspersky Lab baru saja mengidentifikasi Trojan-Banker.Win32.Chthonic atau disingkat Chthonic.
Evolusi dari Trojan ZeuS yang terkenal ini telah menyerang lebih dari 150 bank berbeda dan 20 sistem pembayaran di 15 negara. Target utamanya adalah lembaga keuangan di Inggris, Spanyol, Amerika Serikat, Rusia, Jepang dan Italia.
Dalam kasus salah satu bank Jepang yang disasar, malware ini mampu menyembunyikan peringatan dari bank dan bahkan menyuntikkan script yang memungkinkan penyerang untuk melakukan berbagai transaksi menggunakan rekening korban.
Pelanggan dari bank Rusia yang terkena dampaknya bahkan langsung disambut oleh halaman perbankan yang merupakan tipuan sesaat setelah mereka login. Hal ini dapat dilakukan oleh Trojan dengan menciptakan iframe dengan salinan phishing dari website yang memiliki ukuran yang sama dengan jendela asli.
Chthonic memiliki beberapa kesamaan dengan Trojan lainnya. Ia menggunakan encryptor dan downloader yang sama seperti Andromeda bots, skema enkripsi yang sama seperti Zeus AES dan Trojan Zeus V2, dan sebuah mesin virtual yang mirip dengan yang digunakan di malware ZeusVM dan KINS.
Untungnya, banyak fragmen kode yang digunakan oleh Chthonic untuk melakukan web injections tidak bisa lagi digunakan, karena banyak bank yang telah mengubah struktur halaman mereka dan dalam beberapa kasus, bahkan juga domain.
Chthonic mengeksploitasi fungsi komputer termasuk webcam dan keyboard untuk mencuri kredensial perbankan online seperti kata sandi. Penyerang juga dapat terhubung ke komputer dari jarak jauh dan memerintahkannya untuk melakukan transaksi.
Senjata utama Chthonic adalah web injector. Ini memungkinkan Trojan untuk menyisipkan kode dan gambar mereka sendiri ke halaman bank yang dimuat oleh browser komputer, yang memungkinkan penyerang untuk mendapatkan kredensial korban seperti nomor telepon, one-time password dan PIN, serta setiap rincian login dan kata kunci yang dimasukkan oleh pengguna.
Korban yang terinfeksi melalui link web atau e-mail berisi lampiran dokumen dengan ekstensi file .DOC yang kemudian menempatkan backdoor untuk kode berbahaya. Lampiran ini berisi dokumen RTF yang dibuat khusus dan dirancang untuk mengeksploitasi kerentanan CVE-2014-1761 dalam produk Microsoft Office.
Setelah diunduh, kode berbahaya yang berisi file konfigurasi terenkripsi disuntikkan ke dalam proses msiexec.exe dan sejumlah modul berbahaya diinstal ke dalam mesin.
Sejauh ini Kaspersky Lab telah menemukan modul yang dapat mengumpulkan sistem informasi, mencuri kata sandi yang disimpan, log keystrokes, memungkinkan akses remote, dan merekam video dan suara melalui kamera web dan mikropon, jika ada.