Обнаружен новый «отпрыск» банковского трояна Kronos
Банковский троян Kronos, также известный как «отец Zeus», является мощным вредоносным ПО и просто так не исчезнет с андеграудной сцены. Впервые он был замечен в 2014 году на русскоязычных хакерских форумах, и в настоящее время его стоимость составляет $7 тыс. (недельный пробный период обойдется в $1 тыс.). За эти деньги продавцы Kronos обещают регулярную поддержку, исправление уязвимостей и добавление новых модулей.
Согласно новому отчету исследователей компании Securonix, в июле нынешнего года троян получил обещанное обновление. Новый вариант под названием Osiris уже активно используется в нескольких несвязанных между собой кампаниях в Германии, Японии и Польше.
Главный способ заражения компьютеров – фишинг и электронные письма, хотя также используется набор эксплоитов RIG. Вредоносные письма содержат вложенные документы Microsoft Word или RTF с макросами, загружающими стейджер на Visual Basic.
Документ эксплуатирует уязвимость переполнения буфера в Microsoft Office Equation Editor Component (CVE-2017-11882), обнаруженную в 2017 году и позволяющую выполнить произвольный код на необновленных системах. C&C-сервер Osiris находится в сети Tor. Для связи с ним вредонос подключается ко множеству узлов Tor, расположенных в разных странах. Некоторые версии трояна также поддерживают удаленное управление через библиотеку LibVNCServer.
Для получения персистентности на компьютере троян копирует себя в папку C: Users%AppDataRoaming и записывает в процесс запуска. После выполнения на атакуемой системе Osiris похищает данные жертв из различных источников. Среди прочего, он модифицирует реестр Windows, для того чтобы получить право внедрять вредоносный код в браузер. Когда жертва посещает сервис online-банкинга, осуществляется атака «человек в браузере».
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш