Dit artikel gaat over de nieuwste iteratie van de Kronos Banking Trojan en welke nieuwe mogelijkheden die het brengt aan de cyberveiligheid landschap. Malware onderzoekers afvragen of de malware heeft zich ontwikkeld tot de nieuwe Osiris Trojaans paard.
Kronos Banking Trojan 2018 - Nieuwe campagnes
Malware onderzoekers van Proofpoint Veiligheidsraad zijn het bijhouden van een nauwlettend in de gaten de activiteit draait om de Kronos Banking Trojan. In de afgelopen maanden, deze security onderzoekers hebben afgeleid dat meerdere campagnes voor dit specifieke malware zijn gericht op bepaalde delen van de wereld als een soort van een test. April is de maand waarin de eerste verschijning van de nieuwe campagnes markeert.
Proofpoint staat dat de belangrijke verandering in de code van Kronos is dat de oude C&C (Command and Control) servers worden niet meer gebruikt. Plaats, het TOR-netwerk is geïmplementeerd om de nieuwe C hosten&C bedieningspanelen. De eerste waarneming van deze nieuwe functie is eerder voorgedaan 2018 en meer in het bijzonder - in april.
Vanaf dat moment, drie grote campagnes zijn verdeeld, afhankelijk van het land dat ze hebben beïnvloed, respectievelijk Duitsland, Japan, en Polen. Duits gebruikers zijn gericht tussen 27 juni en 30 juni. Dit e-mail campagne aanbevolen kwaadaardige documenten met macro-scripts downloaden Kronos die zijn gericht op een paar verschillende financiële instellingen.
De tweede campagne betrof een malvertising keten die de lading van de oppervlakte ZeuS Trojan-virus https://sensorstechforum.com/remove-zeus-trojan-virus/ maar uiteindelijk de nieuwe versie van geladen Kronos. Japans gebruikers hebben de aanval op 13 juli gemeld.
Derde en laatste, verschillende e-mail campagne werd waargenomen twee dagen na de Japanse rapporten, terwijl dit keer het land van Polen diende als de primaire doelgroep. E-mails bevatte valse facturen, zoals "factuur 2018.07.16”En kwaadaardige .doc bestanden. Vanaf 20 juli, er lijkt een nieuwe campagne, die nog en momenteel beschouwd in de testperiode.
Osiris Banking Trojan - het nieuwe gezicht van Kronos?
Bijna op hetzelfde moment van de nieuwe Kronos versies verschijnen in het wild, een advertentie voor een nieuwe banking Trojan genaamd “Osiris”Had opgedoken op een ondergrondse hacking forum. Als beide Kronos en Osiris zijn namen van bekende mythische goden, en de timing van de reclame van de laatste is heel dicht bij de actieve campagnes van Kronos, Proofpoint security officers nadenken als het hetzelfde banking Trojan:
Er is enige speculatie en indirect bewijs suggereert dat deze nieuwe versie van Kronos is omgedoopt tot “Osiris”En wordt op de ondergrondse markten verkocht.
De reclame is het volgende:
De tekst voor de advertentie is hieronder weergegeven:
Wat is Osiris?
Het is een C ++ Banking Trojan via Tor.Waarom moet ik krijgen Osiris?
Osiris kan niet worden gevolgd of afsluiten gebruikt omdat Tor aansluitingen en volledig ondersteunt win Vista / 7/8 / 8.1 / 10 native.Wat zijn de kenmerken?
-Tor Connection
-Ring 3 Rootkit 32 en 64bit
-Forwgrabber POST en GET verzoeken (het zal alles grijpen) volledig ondersteund in Chrome 65 en FireFox 59 nieuwste versies en lager.
-Weblnjections Zeus stijl webinjects met automatische update van injecties,ondersteund op Internet Explorer,FireFox 59 en onder.
//Please Read coment voor Chrome:
(Chrome werkt alleen op de oude versie worden bijgewerkt voor nu ,als gevolg van Chrome verandering comletely de structuur sinds versie 64 al was het maar
werkt de Formgrabber atm)
-Keylogger
-Download & uitvoeren
-Bot bijwerken
-Broswer Password Recovery werkt op Firefox en Chrome
-proactieve Bypass
-AntVMware,AntiSandbox,AntiDebug OndersteuningWat is de grootte van de bot?
De afmetingen zijn 350 kB we zullen werken aan het verbeteren van de grootte om het kleiner te maken.Hoeveel doet al deze kosten?
De prijs is $2,000 per maandWat u moet?
Volledige ondersteuning en webinjections documentatieAantekening:
Extra functies zullen binnenkort worden toegevoegd.
De prijs van de Osiris zal toenemen en heeft geen invloed op oude costmers.
U kunt ook een volledige levenslange licentie kopen als het echt nodig hebben.Reglement:
1. Restitutie kan niet worden toegepast, omdat het botnet niet uitgeschakeld kan worden.
2. Geen delen of het geven van paneel of de bot onbevoegden.
3. Eventuele problemen neem dan contact met mij op eerste niet te plaatsen op de draad.
4. U kunt de licentie te verkopen met mijn goedkeuring en kost u een vergoeding van 1000$.
5. Als je niet aan de regels zal leiden tot de beëindiging van de licentie zonder restitutie.
Uit het bovenstaande tekst, wordt het duidelijk dat Osiris:
- is geschreven in de C ++ programmeertaal
- is een banking Trojan horse
- maakt gebruik van het TOR anoniem netwerk
- heeft keylogger functionaliteit
- heeft vorm grijpen functionaliteit
- maakt gebruik van Zeus-geformatteerd webinjects
Osiris heeft al die mogelijkheden, onder andere degenen, die ook in zijn Kronos. Proofpoint veiligheid wijst er ook op dat de 350 KB grootte van de Osiris' boot is bijna hetzelfde als de 351 KB grootte van een eerdere, uitgepakt versie van Kronos. Dit zijn speculaties, maar zeker niet wilde dieren en het zou heel goed uiteindelijk op het eerste bewijs van de evolutie van de Kronos Banking Trojan.
De dreiging landschap is in een rare plek op het moment als nieuwe malware komt minder vaak dan de huidige vraag op de Dark Web. We zien meer nieuwe herhalingen van oude malware met kleine tweaks, in plaats van een geheel nieuwe structuur in de code van een malware's. Hoe dan ook, Trojaanse paarden zijn nog steeds effectief is en kan leiden tot ernstige problemen voor de bankiers, alsmede collateral damage tot andere computersystemen in alle getroffen netwerken veroorzaken.