Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обнаружен новый вариант банковского трояна Kronos

Обнаружен новый вариант банковского трояна Kronos

Обнаружен новый вариант банковского трояна Kronos


12.09.2018



Банковский троян Kronos, также известный как "отец Zeus", является мощным вредоносным ПО и просто так не исчезнет с андеграудной сцены. Впервые он был замечен в 2014 году на русскоязычных хакерских форумах, и в настоящее время его стоимость составляет $7 тыс. (недельный пробный период обойдется в $1 тыс.). За эти деньги продавцы Kronos обещают регулярную поддержку, исправление уязвимостей и добавление новых модулей.

Согласно новому отчету исследователей компании Securonix, в июле нынешнего года троян получил обещанное обновление. Новый вариант под названием Osiris уже активно используется в нескольких несвязанных между собой кампаниях в Германии, Японии и Польше.

Главный способ заражения компьютеров – фишинг и электронные письма, хотя также используется набор эксплоитов RIG. Вредоносные письма содержат вложенные документы Microsoft Word или RTF с макросами, загружающими стейджер на Visual Basic.

Документ эксплуатирует уязвимость переполнения буфера в Microsoft Office Equation Editor Component (CVE-2017-11882), обнаруженную в 2017 году и позволяющую выполнить произвольный код на необновленных системах. C&C-сервер Osiris находится в сети Tor. Для связи с ним вредонос подключается ко множеству узлов Tor, расположенных в разных странах. Некоторые версии трояна также поддерживают удаленное управление через библиотеку LibVNCServer.

Для получения персистентности на компьютере троян копирует себя в папку C: Users\%AppDataRoaming и записывает в процесс запуска. После выполнения на атакуемой системе Osiris похищает данные жертв из различных источников. Среди прочего, он модифицирует реестр Windows, для того чтобы получить право внедрять вредоносный код в браузер. Когда жертва посещает сервис online-банкинга, осуществляется атака "человек в браузере".

 

Securitylab