Noll
Kronos, även känd som “fader Zeus,” är särskilt skadliga formen av skadlig kod som helt enkelt inte kommer att gå bort.
Zeus, Gozi, och Citadel är kända Trojaner som fokuserar sina ansträngningar på att stöld av finansiella referenser som kan användas av hot aktörer att kompromissa online bankkonton, genomföra identitetsstöld, eller att samla in data som senare säljs i referens tippar på det Mörka Nätet.
I den grekiska mytologin, Kronos är Zeus’ fader. I en värld av svart hatt it-säkerhet verktyg, en något liknande förhållande tycks existera — en anslutning föranletts av Kronos injektion filer som är speciellt utformad av malware utvecklare för att vara kompatibel med Zeus varianter.
Först upptäcktes i ryska underjordiska forumen 2014, Kronos kommer med en premie prislapp på $7000, samt en en-vecka “rätta” alternativet för $1000.
Kronos utvecklare, i gengäld för dessa betalningar, lovar ständiga uppdateringar, buggfixar och utveckling av nya moduler.
Enligt Securonix forskare, malware har precis fått ett av de utlovade uppdateringar.
På tisdag, it-företaget ny forskning som publiceras i det skadliga programmet, säger att den senaste Kronos variant, också känd som Osiris, upptäcktes i juli detta år.

Tre distinkta, separata kampanjer som är på gång i Tyskland, Japan och Polen som utnyttjar Trojan.
Primär infektion vektor är phishing-kampanjer och bedrägliga e-postmeddelanden, samt utnyttja kit RIGG. Den skadliga e-postmeddelanden innehåller specialskriven dokument i Microsoft Word eller RTF bilagor med makron att släppa och köra krypterat VB stagers.
De handlingar utnyttja CVE-2017-11882, en buffert flöde säkerhetsproblem i Microsoft Office Equation Editor Komponent som upptäcktes redan 2017.
Om en target-systemet har inte lappat, bugg tillåter exekvering av godtycklig kod.
Den nya malware variant gör också stor användning av Tor, med ett kommando-och-kontroll (C2) server som driftas i anonymisera router nätverk. Kronos nu ansluter sig till flera olika Tor-noder som finns i olika länder för att kommunicera med C2-server.
Vissa versioner av malware också stöd för fjärrstyrning genom en anpassad LibVNCServ – er bibliotek.
Se även: Cryptojacking kampanj som utnyttjar Apache Struts 2 fel dödar konkurrensen
En gång utföras på en target-systemet, Kronos kommer att försöka stjäla data från en mängd olika källor. Särskilt skadlig kod kommer att ändra Windows-registret för att injektion av skadlig kod i webbläsare, så att när en bank domän är besökt, en man-i-webbläsare attack utförs.
Firefox webbläsares säkerhetsinställningar kan också sänkas.
Kronos kommer att skörda i form av värden från och med omedvetna offer att kontrollera deras online konton, och kan även göra ytterligare keylogging för att få legitima bank referenser. Den senaste konfigurationer för skadliga skript som används hämtas regelbundet från C2-server.
TechRepublic: Varför lösenorden är en fruktansvärd metod för autentisering
I syfte att upprätthålla uthållighet, Kronos kan kopiera sig själv i C: Users%AppDataRoaming mappen, tillsammans med Tor körbara filer och skadliga Dll-filer. Malware kommer även att skriva sig till start.
Utvecklingen av Kronos skadlig kod är inte goda nyheter för bankerna eller konsumenter. Så länge marknaden för värdefull, finansiella data är stark, malware utvecklare kommer att fortsätta att förfina och förbättra sina skapelser — att dra vinning av skadlig kod köp och prenumerationer i processen.
CNET: Equifax är hack, ett år senare: En titt tillbaka på hur det hände och vad som har ändrats
I Mars, Webroot forskare upptäckte att TrickBot Trojan hade också fått lära sig ett antal nya trick, bland annat en ny fil lås finns mer vanligt i ransomware stammar.
Tidigare och relaterade täckning
Den ultimata guiden till att hitta och döda spionprogram och stalkerware på din smartphone Cisco varnar kunder för kritiska säkerhetsluckor, rådgivande innehåller Apache Struts Vodafone: Du 1234 används som ditt lösenord och blev hackad? Du täcka kostnaden
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0