Identificado como uma evolução do Trojan ZeuS, o Chthonic parece dirigir-se principalmente a instituições financeiras do Reino Unido, Espanha, EUA, Rússia, Japão e Itália, mas pode chegar aos sistemas de outros países. Este código malicioso explora as funções do computador, incluindo a câmara web e o teclado para roubar credenciais bancárias online.
Os cibercriminosos também podem ligar-se ao computador de forma remota e ordenar-lhe que realize transacções. A arma principal do Chthonic, no entanto, são os injectores web que permitem ao Trojan inserir o seu próprio código e as imagens nas páginas dos bancos carregadas pelo browser, com o objectivo de permitir aos atacantes obterem o número de telefone da vítima, passwords e PINs, assim como os inícios de sessão introduzidos pelo utilizador.
As vítimas são infectadas através de links web ou de ficheiros anexos no correio electrónico que têm uma extensão.DOC, documento que depois direcciona para um backdoor com código malicioso. O ficheiro anexo contém um documento RTF especialmente concebido para explorar a vulnerabilidade CVE-2014-1761 nos produtos do Microsoft Office.
Uma vez descarregado o código, um ficheiro de configuração encriptado é injectado no processo msiexec.exe e uma série de módulos maliciosos é instalada na máquina. Até agora, a Kaspersky Lab já descobriu módulos que podem recolher informação do sistema, roubar passwords guardadas, registar as teclas pressionadas no teclado, permitir o acesso remoto e gravar vídeo e som através da câmara web e do microfone.
No caso de um dos bancos japoneses atacados, o malware foi capaz de ocultar as advertências do banco e injectar um script que permitiu aos cibercriminosos levar a cabo diversas operações utilizando a conta da vítima. Os clientes afectados dos bancos russos eram, por seu turno, direccionados para páginas bancárias fraudulentas logo após iniciarem sessão. Isto torna-se possível porque o Trojan cria um iframe com uma cópia phishing da página web que tem o mesmo tamanho que a janela original.
Felizmente, muitos fragmentos de código utilizados pelo Chthonic para realizar injecções web já não podem ser utilizados, porque os bancos alteraram a estrutura das suas páginas e, em alguns casos, os domínios também.