多年沉默後，Kronos Banking Trojan重新浮出水面

Kronos銀行木馬從惡意軟體垃圾箱回來了。經過多年的潛伏，黑客已經重新設計了基礎代碼，並積極針對德國，日本和波蘭的受害者。

GIF

根據Proofpoint研究人員周二公布的一項分析，最新版本採用了一種新的命令和控制功能，旨在與Tor匿名網路配合使用。

他們認為Kronos不僅已經重組，而且可能也被重新命名為Osiris。這就是一些犯罪分子用於在地下市場上出售幾乎相同的木馬的名稱。

「雖然有大量證據表明這種惡意軟體是Kronos的新版本或變體，但也有一些間接證據表明它已經被重新命名並被作為Osiris銀行木馬出售，」Proofpoint說。這個名字很合適：奧西里斯是埃及的重生之神。

自6月27日以來，研究人員表示，他們觀察到四個不同的廣告系列包含惡意文件，最終導致下載Kronos / Osiris木馬。

Kronos銀行木馬最初於2014年被發現，並迅速成為一個熟練的惡意軟體，能夠竊取憑證並使用網路注入銀行網站。該木馬還包括一個Ring3 rootkit，以幫助防禦其他特洛伊木馬。但在2016年，曾經令人生畏的銀行木馬從研究人員的雷達屏幕上掉了下來。

2017年，當聯邦調查局指控WannaCry-slayer Marcus Hutchins建立銀行木馬時，Kronos再次成為頭條新聞- 但惡意軟體的實際活動仍然有限。

現在，德國最近發生的針對惡意軟體的垃圾郵件活動針對的是金融公司的客戶，其電子郵件主題行翻譯成英語為「更新我們的條款和條件」。在這些攻擊中，惡意軟體樣本使用了URL「http：// jhrppbnh4d674kzh [。 ]洋蔥/ kpanel / connect.php「作為它的C＆C。

「Word文檔包含宏，如果啟用，下載並執行Kronos銀行木馬的新變種。在某些情況下，這次襲擊使用的是中間煙霧裝載機，「研究人員寫道。煙霧載入器是通常用於在攻擊中下載其他惡意軟體的小型應用程序的名稱。

在日本，7月15日至16日期間發現的攻擊是以惡意廣告為基礎的。「[W]調查了一個惡意廣告鏈，將受害者發送到包含惡意JavaScript注入的網站，」分析師說。「這個JavaScript將受害者重定向到RIG漏洞利用工具包，該工具包正在分發煙霧載入器下載惡意軟體。」

Proofpoint說，在7月15日和16日的波蘭，攻擊者使用帶有惡意和假髮票附件的電子郵件。在此廣告系列中，攻擊者使用附件來利用去年修補的Microsoft公式編輯器漏洞（CVE-2017-11882）。

Proofpoint在7月20日觀看了第四次正在進行的活動，似乎使用英語音樂流媒體網站來吸引受害者。

「我們還不知道這個廣告系列的確切向量，但是這個Kronos實例配置為使用hxxp：// mysmo35wlwhrkeez [。] onion / kpanel / connect.php作為其C＆C，可以通過點擊研究人員指出，一個聲稱是流媒體音樂播放器的網站的「Get It Now」按鈕。

對最近的Kronos示例的分析揭示了與過去版本的關係，例如相同的字元串加密技術; 相同的Windows API散列技術和哈希; 和相同的C＆C協議和加密。惡意軟體代碼字元串還包含自我標識的「Kronos」。

使用匿名洋蔥服務是新的。研究人員還注意到，目前的樣本採用了類似於Zeus Panda銀行木馬所期望的密鑰記錄功能。與Zeus類似的是在惡意軟體中進行Web注入實現。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！