Аналитики компании Proofpoint рассказали об обнаружении переработанной версии банковского трояна Kronos, которая задействована как минимум в трех вредоносных кампаниях. Напомню, что «зенит славы» этой малвари пришелся на 2014 год, когда троян активно продавался на хакерских форумах.

Исследователи Proofpoint пишут, что новые образцы Kronos были обнаружены еще в апреле 2018 года. Однако, судя по всему, весной текущего года злоумышленники лишь тестировали обновленную малварь, тогда как полноценные вредоносные кампании были запущены лишь в июне. Аналитики отмечают, что теперь банкер распространяется через спамерские письма и наборы эксплоитов и нацелен на пользователей различных банков в Японии, Германии и Польше.

Даты Тип кампании Цели C&C
27-30 июня 2018 Спам с вложениями в виде вредоносных документов Word Пользователи 5 немецких финансовых учреждений http://jhrppbnh4d674kzh[.]onion/kpanel/connect.php
13 июля 2018 Набор экспоитов RIG Пользователи 13 японских финансовых учреждений http://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php
15-16 июля 2018 Спам, эксплуатация CVE-2017-11882 Польские пользователи http://suzfjfguuis326qw[.]onion/kpanel/connect.php
20 июля 2018 Сайты для загрузки софта Тестовый запуск hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php

 

Исследователи отмечают, что между версиями 2018 и 2014 годов по-прежнему много общего. К примеру, новые образцы Kronos по-прежнему используют те же механизмы шифрования коммуникаций с управляющим сервером, тот же C&C-протокол и шифрование, тот же формат веб-инжектов (формат Zeus) и так далее. Однако есть и различия, например, панели управления C&C-серверов Теперь доступны только через Tor.

Одновременно с обнаружением новой версии банкера экспертами, некто начал рекламировать малварь на хакерских форумах, называя ее новой разработкой под названием Osiris. Хотя исследователям не удалось получить исходные коды Osiris, исходя из описания и ряда странных совпадений они полагают, что под этим названием скрывается именно Kronos 2018 года.

Реклама Osiris

Известный британский ИБ-специалист Маркус Хатчинс (Marcus Hutchins, так же известный под псевдонимом MalwareTech), которого обвиняют в создании продаже Kronos образца 2014 года, уже прокомментировал происходящее в своем Twitter. «Меня еще судят за то, что я написал Kronos, а тем времени его реальный автор по-прежнему обновляет код», — пишет Хатчинс.

Оставить мнение