Este artículo está sobre la nueva iteración del Kronos troyanos bancarios y qué características nuevas que aporta al paisaje ciberseguridad. investigadores de malware reflexionar sobre si el malware se ha convertido en el nuevo caballo de Troya Osiris.
Kronos troyanos bancarios 2018 - Las nuevas campañas
investigadores de malware de Proofpoint de seguridad han estado manteniendo un estrecho seguimiento de la actividad en torno a la Kronos troyanos bancarios. En los últimos meses, estos investigadores de seguridad han deducido que múltiples campañas para este malware específico han sido dirigidas a determinadas partes del mundo como una especie de una prueba. Abril es el mes que marca la primera aparición de las nuevas campañas.
Estado Proofpoint que el principal cambio en el código de Kronos es que el viejo C&C (Mando y Control) servidores están ya no se utilizan. En lugar, La red Tor se ha implementado para acoger el nuevo C&paneles de control C. El primer avistamiento de esta nueva característica se ha producido anteriormente en 2018 y más concretamente - en abril.
Desde entonces, tres campañas principales se han dividido, según el país al que han impactado, respectivamente Alemania, Japón, y Polonia. alemán los usuarios han sido blanco entre el 27 de junio y el 30 de junio de. Esta campaña de correo electrónico presentado documentos maliciosos que contienen macro-guiones de descarga Kronos que tenían como objetivo unas pocas instituciones financieras diferentes.
La segunda campaña implicó una cadena malvertising que utiliza la carga útil de la Virus troyano ZeuS https://sensorstechforum.com/remove-zeus-trojan-virus/ pero en última instancia cargada la nueva versión de Kronos. japonés usuarios han reportado el ataque el 13 de julio.
Tercera y última, campaña de correo electrónico distinta se observó dos días después de que los informes japoneses, mientras que esta vez el país de Polonia servido como el objetivo principal. Los correos electrónicos contenían facturas falsas, como "factura 2018.07.16”Y maliciosa .doc archivos. Del 20 de julio, parece que hay una campaña más reciente, que todavía está en curso y actualmente considerado para estar en su período de prueba.
Osiris troyanos bancarios - la nueva cara de Kronos?
Casi al mismo tiempo, de la nueva Kronos versiones que aparecen en la naturaleza, un anuncio de un nuevo troyano bancario apodado “Osiris”Había aparecido en un foro de la piratería subterránea. Como ambos Kronos y Osiris son nombres de famosos deidades míticas, y el momento de la publicidad de este último está muy cerca de las campañas activas de Kronos, agentes de seguridad Proofpoint están ponderando si es el mismo troyano bancario:
Existe cierta especulación y evidencia circunstancial sugiere que esta nueva versión de Kronos se ha renombrado “Osiris”Y se vende en los mercados subterráneos.
El anuncio es el siguiente:
El texto para el anuncio se presenta a continuación:
Lo que es Osiris?
Es un C ++ troyanos bancarios más de Tor.¿Por qué debo obtener Osiris?
Osiris no puede ser rastreado o apagado, porque utiliza conexiones de Tor y apoya plenamente Win Vista / 7/8 / 8.1 / 10 de forma nativa.¿Cuáles son las características?
-Conexión Tor
-anillo 3 Rootkit 32 y 64 bits
-Forwgrabber POST y GET solicitudes (se agarra todo) totalmente compatible con Chrome 65 y Firefox 59 versiones más recientes y más adelante.
-webinjects estilo Weblnjections Zeus con actualización automática de las inyecciones,apoyado en Internet Explorer,FireFox 59 y por debajo.
//Por favor, lea coment para Chrome:
(Chrome se actualizará sólo funciona en la versión antigua por ahora ,debido al cambio Chrome comletely su estructura desde la versión 64 aunque sólo sea
funciona de la atm Formgrabber)
-Keylogger
-Descargar & Ejecutar
-Bot actualización
-Broswer Password Recovery funciona en Firefox y Chrome
-Bypass proactiva
-AntVMware,AntiSandbox,Soporte antidebug¿Cuál es el tamaño del robot?
El tamaño de su 350KB vamos a trabajar en mejorar el tamaño para hacerlo más pequeño.Cuánto cuesta todo esto?
El precio es $2,000 por mesLo que va a tener?
webinjections apoyo y la documentación completaNota:
Las características adicionales se añadirán en breve.
El precio del Osiris se incrementará y no afectará costmers viejos.
También puede comprar licencia completa toda la vida si realmente lo necesita.Reglas:
1. Los reembolsos no se pueden aplicar debido a que la red de bots no puede ser apagado.
2. Sin compartir o dar panel o al bot que personas no autorizadas.
3. Cualquier problema, póngase en contacto conmigo directamente primero no publicar en el hilo.
4. Se puede vender la licencia con mi aprobación y le costará una cuota de 1000$.
5. Si usted no sigue las reglas que dará lugar a la terminación de la licencia sin restituciones.
Del texto anterior, se hace evidente que Osiris:
- está escrito en el lenguaje de programación C ++
- es un caballo troyano bancario
- utiliza la red de anonimato TOR
- tiene una funcionalidad de keylogger
- tiene forma funcionalidad agarrando
- webinjects usa con formato de Zeus
Osiris tiene todas las características, entre otros, que también están presentes en Kronos. Proofpoint seguridad también señala que la 350 KB tamaño de la barca de Osiris es casi la misma que la 351 KB tamaño de una anterior, Versión desempaquetado de Kronos. Estos son especulaciones, pero ciertamente no los salvajes y muy bien podría llegar a ser la primera evidencia de la evolución de la Kronos troyanos bancarios.
El panorama de las amenazas está en un lugar extraño en el momento en que el nuevo malware sale con menos frecuencia que la demanda actual en el Dark web. Vemos más nuevas iteraciones de edad de malware con pequeños retoques, en lugar de una estructura completamente nueva en el código de un malware. De cualquier manera, troyanos siguen siendo eficaces como está y puede causar problemas graves para los banqueros, así como daños colaterales a otros sistemas informáticos en todas las redes afectadas.