Este artigo é sobre a mais recente iteração da Kronos Banking Trojan e que novos recursos que ele traz para a paisagem de segurança cibernética. pesquisadores de malware ponderar se o malware tornou-se o novo cavalo de Tróia Osiris.
Kronos Banking Trojan 2018 - Novas Campanhas
investigadores de malware da Proofpoint Segurança tem sido manter uma estreita faixa da atividade gira em torno da Kronos Banking Trojan. Nos últimos meses, esses pesquisadores de segurança deduziram que várias campanhas para este específico de malware têm sido alvo de partes específicas do mundo como uma espécie de um teste. Abril é o mês que marca a primeira aparição das novas campanhas.
Estado Proofpoint que a principal mudança no código de Kronos é que o velho C&C (Comando e controle) servidores não são mais usados. Em vez de, a rede TOR foi implementado para hospedar o novo C&painéis de controlo C. A primeira aparição deste novo recurso ocorreu no início 2018 e mais especificamente - em abril.
Desde então, três grandes campanhas foram divididas, de acordo com o país que eles têm impactado, respectivamente Alemanha, Japão, e Polônia. alemão os usuários têm sido alvo entre 27 de junho e 30 de junho. Esta campanha de e-mail apresentado documentos maliciosos contendo macro-scripts download Kronos que foram alvo de algumas instituições financeiras diferentes.
A segunda campanha envolvida uma cadeia Malvertising que utilizada a carga útil do Vírus ZeuS Trojan https://sensorstechforum.com/remove-zeus-trojan-virus/ mas finalmente carregado a nova versão de Kronos. japonês usuários relataram o ataque a 13 de Julho.
Terceiro e mais recente, campanha de email distinta foi observada dois dias depois de os relatórios japoneses, enquanto desta vez o país de Polônia serviu como o principal alvo. E-mails contidos facturas falsas, tal como "fatura 2018.07.16”E malicioso .doutor arquivos. De 20 de julho, parece haver uma campanha mais recente, que ainda está em curso e actualmente considerado para ser no seu período de teste.
Osiris Banking Trojan - a New Face of Kronos?
Quase ao mesmo tempo do novo Kronos versões que aparecem na natureza, um anúncio de um novo Trojan bancário apelidado “Osiris”Havia aparecido em um fórum hacker subterrâneo. Como ambos Kronos e Osiris são nomes de divindades míticas famosos, eo momento da divulgação do último é muito perto das campanhas ativas de Kronos, agentes de segurança Proofpoint está pensando se é a mesma Trojan bancário:
Existe alguma especulação e evidências circunstanciais sugerindo que esta nova versão do Kronos foi rebatizada “Osiris”E está sendo vendido nos mercados subterrâneos.
O anúncio é o seguinte:
O texto para o anúncio é apresentado a seguir:
O que é Osiris?
É um C ++ Banking Trojan sobre Tor.Por que eu deveria ter Osiris?
Osiris não pode ser rastreado ou desligamento porque usa conexões do Tor e apoia plenamente ganhar Vista / 7/8 / 8,1 / 10 Nativamente.Quais são as características?
-Connection Tor
-Anel 3 rootkit 32 e de 64 bits
-Forwgrabber POST e solicitações GET (ele vai pegar tudo) totalmente suportado no Chrome 65 e FireFox 59 versões mais recentes e abaixo.
-estilo Weblnjections Zeus webinjects com atualização automática de injeções,suportado no Internet Explorer,Raposa de fogo 59 e abaixo.
//Por favor Leia coment para Chrome:
(Chrome será atualizado funciona apenas em versão antiga por enquanto ,devido à mudança Chrome comletely sua estrutura desde a versão 64 mesmo que seja apenas
funciona da atm Formgrabber)
-Keylogger
-Baixar & Executar
-bot Atualização
-Broswer Password Recovery funciona no Firefox e Chrome
-Proactive Bypass
-AntVMware,AntiSandbox,Suporte antidebugQual é o tamanho do bot?
O tamanho seu 350kb vamos trabalhar em melhorar o tamanho para torná-lo menor.Quanto custa todo este custo?
O preço é $2,000 por mêsO que você terá?
apoio e webinjections documentação completaNota:
Recursos extras serão adicionados em breve.
O preço do Osiris vai aumentar e não afetará costmers velhos.
Você também pode comprar licença vitalícia completa se realmente precisa dele.Regras:
1. Os reembolsos não pode ser aplicada porque a botnet não pode ser desligado.
2. No painel de partilha ou dar para fora ou o bot a partes não autorizadas.
3. Quaisquer problemas entre em contato comigo diretamente em primeiro lugar não postar no Tópico.
4. Você pode vender a licença com a minha aprovação e vai custar-lhe uma taxa de 1000$.
5. Se você não seguir as regras que irá resultar na rescisão de licença sem restituições.
A partir do texto acima, torna-se claro que Osiris:
- está escrito na linguagem C ++ programação
- é um Trojan bancário cavalo
- usa a rede de anonimato TOR
- tem funcionalidade keylogger
- tem funcionalidade agarrando formulário
- usa webinjects Zeus-formatados
Osiris tem todas essas características, dentre outros, que também estão presentes nas Kronos. Proofpoint segurança também aponta que o 350 KB tamanho do Osiris bot é quase o mesmo que o 351 KB tamanho de um anterior, versão descompactada de Kronos. Estes são especulações, mas aqueles certamente não selvagens e poderia muito bem acabar por ser a primeira evidência da evolução do Kronos Banking Trojan.
O cenário de ameaças está em um local estranho no momento como novo malware sai com menos frequência do que sua demanda atual no dark web. Vemos mais novas iterações de malware antigo com pequenos ajustes, ao invés de uma estrutura completamente nova em um código de malwares. De qualquer jeito, cavalos de Tróia são ainda eficazes como está e pode causar sérios problemas para os banqueiros, bem como danos colaterais a outros sistemas de computadores em todas as redes afetadas.