Denne artikel handler om den nyeste iteration af Kronos Banking Trojan og hvilke nye funktioner, det bringer til cybersikkerhed landskab. Malware forskere overveje, om malware har udviklet sig til den nye Osiris trojanske hest.
Kronos Banking Trojan 2018 - Nye kampagner
Malware forskere fra Proofpoint Sikkerhed har været at holde et vågent øje med den aktivitet, kredser omkring Kronos Banking Trojan. I de sidste par måneder, disse sikkerhedseksperter har udledt, at flere kampagner for dette specifikke malware er blevet rettet mod bestemte dele af verden som en slags en test. April er den måned, der markerer den første forekomst af de nye kampagner.
Proofpoint tilstand, at den større ændring i koden af Kronos er, at den gamle C&C (Kommando og kontrol) servere er ikke længere anvendes. I stedet, TOR-netværket er blevet gennemført for at være vært for den nye C&C kontrolpaneler. Den første observation af denne nye funktion er forekommet tidligere i 2018 og mere specifikt - i april.
Siden da, tre store kampagner er blevet delt, alt efter hvilket land, at de har påvirket, henholdsvis Tyskland, Japan, og Polen. tysk brugere er blevet rettet mellem 27th juni og 30. juni. Denne e-mail-kampagne featured ondsindede dokumenter, der indeholder makro-scripts downloading Kronos der var rettet mod et par forskellige finansielle institutioner.
Den anden kampagne involverede en malvertising kæde, der udnyttede den nyttelast ZeuS Trojan Virus https://sensorstechforum.com/remove-zeus-trojan-virus/ men i sidste ende er lagt den nye version af Kronos. japansk brugere har rapporteret angrebet den 13. juli.
Tredje og sidste, distinkt email-kampagne blev observeret to dage efter de japanske rapporter, mens denne gang det land, Polen tjente som det primære mål. E-mails indeholdt falske fakturaer, såsom "faktura 2018.07.16”Og ondsindet .doc filer. Fra den 20. juli, der synes at være en nyere kampagne, som stadig er i gang, og i øjeblikket betragtes at være i sin testperiode.
Osiris Banking Trojan - det nye ansigt for Kronos?
Næsten på samme tid af den nye Kronos versioner optræder i naturen, en reklame for en ny bank Trojan døbt ”Osiris”Havde dukkede op på en underjordisk hacking forum. Som både Kronos og Osiris er navne på berømte mytiske guder, og timingen af reklame for sidstnævnte er meget tæt på de aktive kampagner i Kronos, Proofpoint sikkerhedsofficerer er grublede, om det er den samme bank Trojan:
Der er en vis spekulation og indicier tyder på, at denne nye version af Kronos er blevet relanceret ”Osiris”Og sælges på underjordiske markeder.
Reklamen er følgende:
Teksten for reklamen præsenteres nedenfor:
Hvad er Osiris?
Det er et C ++ Banking Trojan løbet Tor.Hvorfor skulle jeg få Osiris?
Osiris kan ikke spores eller lukning, fordi bruger Tor-forbindelser og støtter fuldt win Vista / 7/8 / 8,1 / 10 indbygget.Hvad er de funktioner?
-Tor Connection
-Ring 3 Rootkit 32 og 64bit
-Forwgrabber POST og GET anmodninger (det vil gribe alt) fuldt understøttet på Chrome 65 og FireFox 59 nyeste versioner og nedenfor.
-Weblnjections Zeus stil webinjects med automatisk opdatering af injektioner,understøttet på Internet Explorer,FireFox 59 og nedenfor.
//Læs venligst coment til Chrome:
(Chrome vil blive opdateret virker kun på gamle version for nu ,på grund af Chrome ændre comletely dets struktur siden version 64 kun være det
fungerer Formgrabber atm)
-Keylogger
-Hent & Udfør
-Bot opdatering
-Broswer Password Recovery virker på Firefox og Chrome
-Proaktiv Bypass
-AntVMware,AntiSandbox,AntiDebug SupportHvad er størrelsen af bot?
Størrelsen sin 350 KB vi vil arbejde på at forbedre størrelsen for at gøre det mindre.Hvor meget gør alt dette omkostning?
Prisen er $2,000 om månedenHvad vil du have?
Fuld dokumentation support og webinjectionsNote:
Ekstra funktioner vil blive tilføjet snart.
Prisen for Osiris vil stige, og vil ikke påvirke gamle costmers.
Du kan også købe fuld levetid licens, hvis virkelig har brug for det.Regler:
1. Tilbagebetaling kan ikke anvendes, fordi botnet ikke kan blive lukket ned.
2. Ingen deling eller give ud panel eller bot til uautoriserede parter.
3. Eventuelle spørgsmål bedes du kontakte mig direkte først ikke skrive på Tråd.
4. Du kan sælge licensen med min godkendelse og vil koste dig et gebyr på 1000$.
5. Hvis du ikke følger reglerne vil det resultere i opsigelse af licensen uden restitutioner.
Ud fra ovenstående tekst, bliver det klart, at Osiris:
- er skrevet i C ++ programmeringssprog
- er en bank trojansk hest
- bruger TOR anonymisere netværk
- har keylogger-funktionalitet
- har formen sensationsprægede funktionalitet
- bruger Zeus-formaterede webinjects
Osiris har alle disse funktioner, blandt andre dem, der er også til stede i Kronos. Proofpoint sikkerhed påpeger også, at den 350 KB størrelse Osiris' båd er næsten den samme som den 351 KB størrelse af et ældre, udpakket version af Kronos. Disse er spekulationer, men bestemt ikke vilde dem og kunne meget vel ende med at blive den første bevis på udviklingen af Kronos Banking Trojan.
Truslen landskab er i en underlig plet i øjeblikket som ny malware kommer ud sjældnere end sin nuværende efterspørgsel på Mørk Web. Vi ser flere nye gentagelser af gamle malware med små fif, snarere end en helt ny struktur i en malware kode. Enten måde, Trojanske heste er stadig effektive som er og kan forårsage alvorlige problemer for bankfolk samt indirekte skade til andre computersystemer i alle berørte netværk.