Исследователи из компании Trusteer обнаружили на российском подпольном форуме объявление о продаже нового банковского трояна Kronos. Поскольку тот во многом похож на ZeuS, то его можно назвать «братом Зевса».
Сообщение написано на ломаном русском языке. Это наталкивает на мысль, что автор — иностранец, который воспользовался программой автоматического перевода, чтобы предложить свою работу русскоязычным покупателям.
- Программа поддерживает стандартные техники кражи учётных данных, такие как формы заполнения на веб-странице и HTML-инъекции, совместимые с большинством современных и старых браузеров (Internet Explorer, Firefox и Chrome).
- 32- и 64-битный руткит ring3 (user-mode) с функцией защиты системы от других троянов.
- Proactive Bypass: троян использует «необнаруженные методы инжекции», чтобы обходить проактивную антивирусную защиту.
- Encrypted Communication: связь между ботом и панелью зашифрована для защиты от снифера.
- Usermode Sandbox и Rootkit bypass: троян способен обходить любой хук, установленный в usermode функциях.
Инжекты написаны в формате zeus config, так что легко можно легко перевести перенести конфигурацию с ZeuS на Kronos.
Пожизненная лицензия на Kronos стоит $7000, неделя пробного тестирования — $1000. К оплате принимаются биткоины.
Эксперты отмечают высокую стоимость трояна: большинство современных зловредов продают дешевле тысячи, а некоторые вообще доступны бесплатно как open source.
