Zero
Kronos, anche conosciuto come “il padre di Zeus,” è particolarmente perniciosa forma di malware che semplicemente non andrà via.
Zeus, Gozi, e la Cittadella sono ben noti i Trojan che concentrare i loro sforzi sul furto di credenziali finanziarie che possono essere utilizzate da minaccia attori per compromettere i conti bancari online, condotta furto di identità, o raccogliere dati che viene poi venduto in credenziale dump sul Dark Web.
Nella mitologia greca, Kronos è Zeus, il padre. Nel mondo di black hat sicurezza informatica strumenti di un simile rapporto sembra esistere — una connessione richiesto da Kronos iniezione file appositamente predisposto dal malware sviluppatore per essere compatibile con varianti di Zeus.
Primo scoperto in russo forum underground nel 2014, Kronos viene fornito con un prezzo di $7000, così come una settimana di “prova” opzione per $1000.
Il Kronos sviluppatori, in cambio di questi pagamenti, promessa di costanti aggiornamenti, correzioni di bug, e lo sviluppo di nuovi moduli.
Secondo Securonix ricercatori, il malware ha appena ricevuto una promessa di aggiornamenti.
Martedì, sicurezza informatica studio pubblicato la nuova ricerca di malware, dicendo che l’ultima Kronos variante, conosciuta anche come Osiride, è stato scoperto nel mese di luglio di quest’anno.
Tre distinti, separati, le campagne sono già in corso in Germania, Giappone e Polonia che utilizzano il Trojan.
L’infezione primaria vettoriale è il phishing campagne di e-mail fraudolente, così come kit di exploit come RIG. Dannoso e-mail contengono predisposto i documenti di Microsoft Word o RTF allegati con le macro di discesa ed eseguire offuscato VB volpi.
I documenti di sfruttare le vulnerabilità CVE-2017-11882, un buffer di flusso di una vulnerabilità in Microsoft Office Equation Editor Componente che è stato scoperto nel 2017.
Se un sistema di destinazione non è stato corretto il bug che permette l’esecuzione di codice arbitrario.
Le nuove varianti del malware anche rende il consistente utilizzo di Tor, con un comando e controllo (C2) server ospitato in anonimato onion router di rete. Kronos ora si connette a più nodi Tor, che sono presenti in vari paesi per comunicare con il C2 server.
Alcune versioni del malware anche di supporto per il controllo remoto attraverso un custom LibVNCServ – er biblioteca.
Vedi anche: Cryptojacking campagna sfruttando Apache Struts 2 difetto uccide la concorrenza
Una volta eseguito su un sistema di destinazione, Kronos tenterà di rubare i dati da una varietà di fonti. In particolare, il malware si modifica il registro di Windows per consentire l’iniezione di codice maligno nel browser, e così quando una banca dominio è visitato, un uomo-in-browser attacco viene eseguito.
Firefox impostazioni di sicurezza del browser può anche essere abbassato.
Kronos sarà raccolto i valori di forma da vittime inconsapevoli che controllare i loro conti on-line e può anche condurre ulteriori keylogging di guadagno legittimo banca credenziali. Le ultime configurazioni per lo script dannoso utilizzato è scaricata periodicamente dalla C2 server.
TechRepublic: Perché le password sono un terribile metodo di autenticazione
Al fine di mantenere la persistenza, Kronos può copiare se stesso nella cartella C: Users%AppDataRoaming cartella, a fianco di Tor di file eseguibili e le Dll maligni. Il malware può anche scrivere di sé per l’avvio.
L’evoluzione del Kronos malware non è una buona notizia per le banche o i consumatori. Fintanto che il mercato dei preziosi, dei dati finanziari è forte, gli sviluppatori di malware continuerà ad affinare e migliorare le loro creazioni — raccogliendo il ricavato di malware acquisti e sottoscrizioni nel processo.
CNET: Equifax trucco, un anno dopo: Uno sguardo indietro a come è successo e cosa è cambiato
Nel mese di Marzo, Webroot i ricercatori hanno scoperto che il TrickBot Trojan aveva anche insegnato un certo numero di nuovi trucchi, tra cui un nuovo blocco dei file di sistema trova più comunemente in ransomware ceppi.
Precedente e relativa copertura
La guida definitiva per la ricerca e l’uccisione di spyware e stalkerware sul tuo smartphone Cisco avverte i clienti di critiche falle di sicurezza, di consulenza comprende Apache Struts Vodafone: È utilizzato come password 1234 e sono stati violati? A coprire il costo
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0