Image default
Vulnerabilidades

Malware bancário Kronos renasce das cinzas sob o codinome Osiris

Foi descoberto recentemente por pesquisadores da empresa de segurança Proofpoint, uma variante do Kronos, um malware bancário que utiliza a rede TOR para se comunicar com servidores de comando e controle (C2).

O renascimento do malware Kronos

Tendo dado as caras pela primeira vez em 2014, o malware Kronos teve grande popularidade, mas sumiu repentinamente da cena. A variante egípcia do Kronos é conhecida como Osiris e os cibercriminosos o estão utilizando em ataques por toda a Alemanha, Japão e Polônia. Seus criadores atualmente estão vendendo o malware na Dark Web.

Em um blog, os pesquisadores da Proofpoint afirmaram:

O malware Kronos já foi bem documentado anteriormente. É um MALWARE bancário que utiliza técnicas de man-in-the-browser, juntamente com regras de webinject para modificar os websites de instituições financeiras, facilitando o roubo de credenciais de usuários, informações de contas, bem como outras informações de usuários e quantias em dinheiro através de transações fraudulentas. Ele possui também um recurso de keylogging para gravar as teclas pressionadas e o de VNC oculto para ajudar nas atividades do invasor.

O malware Osiris não está sozinho

Os pesquisadores descobriram também que os cibercriminosos que utilizam o Osiris também estão usando o malware em uma quarta campanha que parece ainda estar em fase desenvolvimento. O dia 27 de junho marcou a data da primeira campanha, onde o objetivo era atacar vítimas alemãs. Em alguns casos, o malware SmokeLoader era utilizado na campanha como intermediário. Outra campanha foi lançada visando vítimas do Japão e o SmokeLoader foi utilizado para baixar o recém-renascido Kronos.

No dia 15 de julho, os atacantes iniciaram sua próxima campanha, desta vez visando vítimas da Polônia, por meio do exploit EquationEditor, com o objetivo de baixar o Kronos nos sistemas visados. A última campanha começou no dia 20 de julho e acredita-se que esteja em curso neste momento, mas não está claro qual país esta nova campanha terá como alvo.

Semelhanças entre Osiris e Kronos

O Osiris é semelhante ao Kronos por vários motivos. Ambos compartilham o mesmo código e strings, além do mesmo C2 (servidor(es) de comando e controle) e protocolo de criptografia. Também utilizam as mesmas técnicas de hashing da API do Windows.

O Osiris é um malware bancário, assim como o Kronos, e possui capacidade de roubar credenciais e realizar keylogging. Provavelmente a única grande diferença entre os dois malwares é que o C2 do Osiris foi configurado para utilizar a rede TOR.

Foi divulgado em um fórum de hacking da dark web que o malware Osiris tem cerca de 350 KB de tamanho e foi escrito em C++.

Fonte:

Osiris Malware: Has Kronos Been Reborn?

Fonte imagem post:

https://financialtribune.com/articles/economy-sci-tech/75163/malware-that-can-empty-bank-accounts

Posts similares

CVE-2017-12163: Vulnerabilidade afeta protocolo SMBv1 do Samba

O Analista

Falha no kernel do Linux permite a escalação de privilégios no sistema

O Analista

Vulnerabilidade no webserver GoAhead afeta milhares de dispositivos IoT

O Analista
O Analista_