Аналитики компании Proofpoint рассказали об обнаружении переработанной версии банковского трояна Kronos, которая задействована как минимум в трех вредоносных кампаниях. Напомню, что «зенит славы» этой малвари пришелся на 2014 год, когда троян активно продавался на хакерских форумах.
Исследователи Proofpoint пишут, что новые образцы Kronos были обнаружены еще в апреле 2018 года. Однако, судя по всему, весной текущего года злоумышленники лишь тестировали обновленную малварь, тогда как полноценные вредоносные кампании были запущены лишь в июне. Аналитики отмечают, что теперь банкер распространяется через спамерские письма и наборы эксплоитов и нацелен на пользователей различных банков в Японии, Германии и Польше.
Даты | Тип кампании | Цели | C&C |
27-30 июня 2018 | Спам с вложениями в виде вредоносных документов Word | Пользователи 5 немецких финансовых учреждений | http://jhrppbnh4d674kzh[.]onion/kpanel/connect.php |
13 июля 2018 | Набор экспоитов RIG | Пользователи 13 японских финансовых учреждений | http://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php |
15-16 июля 2018 | Спам, эксплуатация CVE-2017-11882 | Польские пользователи | http://suzfjfguuis326qw[.]onion/kpanel/connect.php |
20 июля 2018 | Сайты для загрузки софта | Тестовый запуск | hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php |
Исследователи отмечают, что между версиями 2018 и 2014 годов по-прежнему много общего. К примеру, новые образцы Kronos по-прежнему используют те же механизмы шифрования коммуникаций с управляющим сервером, тот же C&C-протокол и шифрование, тот же формат веб-инжектов (формат Zeus) и так далее. Однако есть и различия, например, панели управления C&C-серверов Теперь доступны только через Tor.
Одновременно с обнаружением новой версии банкера экспертами, некто начал рекламировать малварь на хакерских форумах, называя ее новой разработкой под названием Osiris. Хотя исследователям не удалось получить исходные коды Osiris, исходя из описания и ряда странных совпадений они полагают, что под этим названием скрывается именно Kronos 2018 года.
Известный британский ИБ-специалист Маркус Хатчинс (Marcus Hutchins, так же известный под псевдонимом MalwareTech), которого обвиняют в создании продаже Kronos образца 2014 года, уже прокомментировал происходящее в своем Twitter. «Меня еще судят за то, что я написал Kronos, а тем времени его реальный автор по-прежнему обновляет код», — пишет Хатчинс.
I'm still on trial for writing Kronos, meanwhile the real author is still updating the code ??? https://t.co/pDYARvn0nk
— MalwareTech (@MalwareTechBlog) July 24, 2018