Nul
Kronos, også kendt som “far til Zeus,” er en særdeles skadelige form for malware, som bare ikke vil gå væk.
Zeus, Gozi, og Citadel er vel-kendte Trojanske heste, der fokuserer deres indsats på tyveri af finansielle legitimationsoplysninger, som kan bruges af trussel aktører til at gå på kompromis online bank konti, foretage identitetstyveri eller indsamle data, som senere sælges i credential lossepladser på den Mørke Web.
I den græske mytologi, Kronos, er Zeus’ far. I en verden af sort hat cybersecurity værktøjer, en noget lignende forhold ser ud til at eksistere — en forbindelse bedt om det af Kronos injektion filer, der er specifikt udformet af den malware-udvikler til at være kompatibel med Zeus varianter.
Første afsløret i russisk underground fora i 2014, Kronos kommer med en premium pris af $7000, såvel som en en-uge “trial” – indstillingen for $1000.
Kronos udviklere, til gengæld for disse betalinger, lover konstante opdateringer, fejlrettelser og udvikling af nye moduler.
Ifølge Securonix forskere, malware har netop modtaget en af de lovede opdateringer.
Tirsdag, den cybersecurity firma offentliggjort ny forskning i den malware, der siger, at den seneste Kronos variant, også kendt som Osiris, blev opdaget i juli dette år.
Tre forskellige separate kampagner, der allerede er sat i gang i Tyskland, Japan og Polen, der udnytter den Trojanske hest.
Den primære infektion vektor er phishing-kampagner og bedrageriske e-mails, samt exploit kits som RIG. Ondsindede e-mails indeholder udformet dokumenter i Microsoft Word-eller RTF-filer med makroer, at falde og udføre uklar VB stagers.
De dokumenter, der udnytter CVE-2017-11882, en buffer flow sårbarhed i Microsoft Office-Equation Editor-Komponent, der blev opdaget tilbage i 2017.
Hvis et mål ikke er blevet lappet, den bug tillader udførelse af vilkårlig kode.
Den nye malware variant også gør omfattende brug af Tor, med en kommando-og-kontrol (C2) – server hostet i anonymisere onion router netværk. Kronos nu opretter forbindelse til flere Tor-noder, der er placeret i forskellige lande, til at kommunikere med C2-server.
Nogle versioner af malware også støtte fjernbetjening gennem et tilpasset LibVNCServ – er bibliotek.
Se også: Cryptojacking kampagne, der udnytter Apache Struts 2 fejl dræber konkurrencen
Når henrettet på en target-system, Kronos vil forsøge at stjæle data fra en række forskellige kilder. I særdeleshed, malware vil ændre Windows-registreringsdatabasen for at give en injektion af skadelig kode i browsere, og så, når en bank domæne er besøgt, og en mand-i-browser angreb er udført.
Firefox browser sikkerhedsindstillinger kan også sænkes.
Kronos vil høste form af værdier fra intetanende ofre, at tjekke deres online konti og kan også foretage yderligere keylogging at få legitim bank-legitimationsoplysninger. De nyeste konfigurationer for det ondsindede script, der anvendes, er hentet med jævne mellemrum fra C2-server.
TechRepublic: Hvorfor passwords er en frygtelig godkendelsesmetode
For at opretholde vedholdenhed, Kronos kan kopiere sig selv ind i C: Brugere%AppDataRoaming mappen, sammen med Tor eksekverbare filer og ondsindet Dll-filer. Malware vil også skrive sig til start.
Udviklingen af Kronos malware er ikke gode nyheder for banker eller forbrugere. Så længe markedet for værdifulde, finansielle data er stærk, malware udviklere vil fortsætte med at forfine og forbedre deres kreationer — høste udbyttet af malware køb og abonnementer i processen.
CNET: Equifax ‘ s hack, et år senere: Et kig tilbage på, hvordan det skete, og hvad der er ændret
I Marts, Webroot forskere har opdaget, at TrickBot Trojan havde også lært en række nye tricks, herunder en ny fil låsesystem fundet mere almindeligt i ransomware stammer.
Tidligere og relaterede dækning
Den ultimative guide til at finde og dræbe spyware og stalkerware på din smartphone Cisco advarer kunderne om kritiske sikkerhedshuller, rådgivende indeholder Apache Stivere Vodafone: Du har brugt 1234 som din adgangskode og blev hacket? Du dække omkostningerne
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0