{"id":4599,"date":"2014-12-18T10:12:36","date_gmt":"2014-12-18T10:12:36","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=4599"},"modified":"2020-02-26T18:37:56","modified_gmt":"2020-02-26T16:37:56","slug":"neuer-zeus-schaedling-chthonic","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/neuer-zeus-schaedling-chthonic\/4599\/","title":{"rendered":"Zeus-Variante Chthonic zielt weltweit auf Online-Banking-Anwender"},"content":{"rendered":"<p>Kaspersky-Experten haben eine neue Variante des ber\u00fcchtigen Zeus-Banking-Trojaners entdeckt. Der neue Sch\u00e4dling mit dem Namen Chthonic greift die Kunden von 150 Banken und 20 Zahlungssystemen in 15 L\u00e4ndern an.<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/02\/06133642\/2-1024x636.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-4600\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/02\/06133642\/2-1024x636.png\" alt=\"2\" width=\"1024\" height=\"767\"><\/a><\/p>\n<p>Zeus gilt als <a href=\"https:\/\/www.kaspersky.de\/blog\/die-vier-grosen-bank-trojaner\/1849\/\" target=\"_blank\" rel=\"noopener\">K\u00f6nig der Banking-Schadprogramme<\/a>. Zum ersten Mal tauchte das Schadprogramm im Jahr 2007 auf und seitdem greift es Online-Banking-Nutzer erfolgreich an. Im Jahr 2011 warfen seine Entwickler das Handtuch und ver\u00f6ffentlichten den Quellcode des Sch\u00e4dlings. Man k\u00f6nnte meinen, das w\u00e4re das Ende von Zeus gewesen \u2013 allerdings ist das Gegenteil der Fall. Die Ver\u00f6ffentlichung des Quellcodes erm\u00f6glichte es kriminellen Programmieren, mit dem hochgradig anpassparen Framework eigene Varianten wie <a href=\"https:\/\/www.kaspersky.de\/blog\/gameover-botnetz-zerschlagen\/3328\/\" target=\"_blank\" rel=\"noopener\">GameOver<\/a>, Zitmo und andere zu entwickeln.<\/p>\n<div class=\"pullquote\">Nachdem Chthonic einen Computer infiziert hat, sammelt er Systemdaten, stiehlt gespeicherte Passw\u00f6rter, schreibt Tastatureingaben mit, gibt den T\u00e4tern Remote-Zugriff und kann auch die Kameras und Mikrofone infizierter Rechner einschalten.<\/div>\n<p>Nachdem Chthonic einen Computer infiziert hat, sammelt er Systemdaten, stiehlt gespeicherte Passw\u00f6rter, schreibt Tastatureingaben mit, gibt den <a href=\"https:\/\/www.kaspersky.de\/blog\/webcam-einbrueche\/4512\/\" target=\"_blank\" rel=\"noopener\">T\u00e4tern Remote-Zugriff und kann auch die Kameras<\/a> und Mikrofone infizierter Rechner einschalten. Das Ziel dabei ist, Zugangsdaten zum Online-Banking zu stehlen und den T\u00e4tern die Kontrolle \u00fcber die infizierten Computer zu geben, so dass diese betr\u00f6gerische \u00dcberweisungen ausf\u00fchren k\u00f6nnen.<\/p>\n<p>Wie fr\u00fchere Bank-Trojaner nutzt auch Chthonic Web-Injection-Techniken, um legitime Banking-Oberfl\u00e4chen mit eigenen Bildern und Code zu ersetzen. Arglose Bankkunden geben dann ihre Zugangsdaten dort ein und an die Kriminellen weiter, ohne zu bemerken, dass ihre Online-Banking-Seite durch eine \u00e4hnlich aussehende, aber sch\u00e4dliche Seite ersetzt worden ist. Ein Vorteil dieser Methode ist, dass die <a href=\"https:\/\/www.kaspersky.de\/blog\/was-ist-zwei-faktoren-authentifizierung\/3355\/\" target=\"_blank\" rel=\"noopener\">Kriminellen auch andere Authentifizierungsdaten<\/a> stehlen k\u00f6nnen, etwa Einmal-Passw\u00f6rter und SMS-Codes, da der Anwender diese ebenfalls \u00fcber die gef\u00e4lschte Oberfl\u00e4che eingibt.<\/p>\n<p>Bevor der eigentliche Diebstahl der Zugangsdaten passieren kann, muss der Computer des Anwenders aber erst infiziert werden. Wie so viele andere Schadprogrammen auch, infiltriert Chthonic die Computer \u00fcber sch\u00e4dliche Web-Links und E-Mail-Anh\u00e4nge. In beiden F\u00e4llen l\u00e4dt er eine sch\u00e4dliche .doc-Datei auf den Rechner, die Code im Rich-Text-Format enth\u00e4lt, der einen Fehler bei der Remote-Code-Ausf\u00fchrung in Microsoft Office ausnutzt, der bereits im April ausgebessert wurde. Daher funktioniert der Sch\u00e4dling auf aktuell gehaltenen Computern nicht. Die Anwender der Kaspersky-Produkte sind nat\u00fcrlich ebenfalls vor Chthonic gesch\u00fctzt.<\/p>\n<p>Chthonic greift vor allem Banken in Gro\u00dfbritannien, Spanien, den US, Russland, Japan und Italien an, ist aber auch in Deutschland aktiv. In Japan \u00fcberschreibt der Sch\u00e4dling Sicherheitswarnungen der Bank mit einem Script, das den T\u00e4tern erlaubt, \u00dcberweisungen vom Nutzerkonto zu t\u00e4tigen. Und in Russland k\u00f6nnen die Anwender nicht einmal mehr auf ihre Banking-Seite zugreifen, da Chthonic einen iframe injiziert, der die Anwender auf eine \u00fcberzeugend gef\u00e4lschte <a href=\"https:\/\/www.kaspersky.de\/blog\/schutz-vor-phishing\/4100\/\" target=\"_blank\" rel=\"noopener\">Phishing<\/a>-Seite leitet.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/02\/06133641\/3.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-4601\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2015\/02\/06133641\/3.png\" alt=\"3\" width=\"392\" height=\"307\"><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine neue Variante des Zeus-Banking-Trojaners zielt auf Kunden von 150 Banken in 15 L\u00e4ndern.<\/p>\n","protected":false},"author":42,"featured_media":4600,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[1262,1076,326,223,1653,294],"class_list":{"0":"post-4599","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-chthonic","10":"tag-great","11":"tag-kaspersky","12":"tag-online-banking","13":"tag-security","14":"tag-zeus"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/neuer-zeus-schaedling-chthonic\/4599\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/chthonic\/","name":"Chthonic"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=4599"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4599\/revisions"}],"predecessor-version":[{"id":22916,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/4599\/revisions\/22916"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/4600"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=4599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=4599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=4599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}