Una nueva versión del troyano bancario Kronos está haciendo las rondas, de acuerdo con los investigadores de seguridad de Proofpoint
Han identificado al menos tres campañas difundiendo una versión renovada de este viejo troyano que tuvo su apogeo en 2014.
Según un informe publicado ayer por la noche, las primeras muestras de esta nueva variante de Kronos se han visto en abril de este año.
Mientras que las muestras iniciales parecían ser tets, las campañas de la vida real se iniciaron a fines de junio, cuando los investigadores comenzaron a detectar kits de malspam y de explotación que entregaban esta nueva versión a los usuarios en la naturaleza.
Campañas dirigidas a Alemania, Japón y Polonia
Los informes de Proofpoint detectan tres campañas y una prueba, dirigidas a usuarios de bancos alemanes, japoneses y polacos.
- 27-30 de junio de 2018 Malspam, documentos Word de macro-atados Usuarios de 5 instituciones financieras alemanas http://jhrppbnh4d674kzh [.] onion /kpanel/connect.php
- 13 de julio de 2018 RIG EK Usuarios de 13 instituciones financieras japonesas http://jmjp2l7yqgaj5xvv [.] onion/kpanel/connect.php
- 15-16 de julio de 2018 Malspam, CVE-2017-11882 Usuarios en Polonia http://suzfjfguuis326qw [.] cebolla / kpanel/connect.php
- 20 de julio de 2018 Sitio de descarga de software Prueba de funcionamiento hxxp://mysmo35wlwhrkeez [.] cebolla/kpanel/connect.php
El malware utilizado en estas campañas no es el Kronos original, sino uno que recibió varias actualizaciones en comparación con su edición de 2014
Proofpoint informa una superposición de código extensa entre las versiones de 2018 y 2014. Las similitudes incluyen que la versión 2018 utiliza la misma técnica de hash API de Windows y hashes, la misma técnica de encriptación de cadenas, el mismo mecanismo de cifrado C & C, el mismo protocolo y cifrado C & C, el mismo formato de documento web (formato Zeus) y un archivo similar de panel C & C diseño.
Pero las dos versiones no son idénticas. La principal diferencia es que la edición 2018 usa paneles de control C & C alojados por Tor.
La edición de Kronos 2018 podría ser un nuevo troyano de Osiris
Los investigadores dicen que al mismo tiempo que esta nueva variante de Kronos comenzó a aparecer en su radar, un autor de malware comenzó a anunciar un nuevo troyano bancario en foros de piratería informática a los que se refirió como Osiris.
Los investigadores de Proofpoint no lograron tener en sus manos una muestra de este nuevo malware de Osiris, pero dicen que el anuncio describe perfectamente la edición de Kronos 2018.
La pista más importante es que el autor de este nuevo troyano afirma que su troyano tiene solo 350 KB de tamaño, que es cercano al tamaño (351 KB) de una muestra inicial de Kronos 2018 que los investigadores encontraron en abril. Casualmente o no, esa muestra se llamó os.exe, presumiblemente de Osiris, aunque no se confirmó.
La reaparición de Kronos se produce cuando otros troyanos bancarios también están experimentando un aumento en la actividad después de que los esfuerzos de distribución se calmaron en 2017 y principios de 2018.
Los investigadores de seguridad Marcus Hutchins (también conocido como MalwareTech) enfrentan acusaciones legales en los EE. UU. Por las acusaciones de haber desarrollado la edición 2014 del troyano bancario Kronos.
Fecha actualización el 2021-07-25. Fecha publicación el 2018-07-25. Categoría: troyano Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer