Nul
Kronos, ook wel bekend als de “vader van Zeus,” is een bijzonder schadelijke vorm van malware die gewoon niet zal verdwijnen.
Zeus, Gozi, en Citadel zijn bekende Trojaanse paarden die zich richten op de diefstal van financiële referenties die gebruikt kan worden door dreigingen te compromis online bankrekeningen, gedrag, identiteit diefstal, of het verzamelen van gegevens die later verkocht in identificatie dumpt op de Donkere Web.
In de griekse mythologie, de Kronos is Zeus’ vader. In de wereld van de black hat cybersecurity tools, een enigszins vergelijkbare relatie lijkt te bestaan — een verbinding gevraagd door Kronos injectie-bestanden die speciaal zijn gemaakt door de malware-ontwikkelaars om compatibel te zijn met Zeus varianten.
Eerste ontdekt in russisch ondergrondse forums in 2014, Kronos komt met een prijskaartje van $7000, evenals een één-week “proef” – optie voor $1000.
De Kronos ontwikkelaars, in ruil voor deze betaling, belofte constante updates, bug fixes, en de ontwikkeling van nieuwe modules.
Volgens Securonix onderzoekers, de malware heeft zojuist een van de beloofde updates.
Op dinsdag, de cybersecurity bedrijf bekendgemaakt nieuw onderzoek naar de malware, zeggende, dat de laatste Kronos variant, ook wel bekend als Osiris, werd ontdekt in juli van dit jaar.
Drie verschillende, aparte campagnes zijn al aan de gang in Duitsland, Japan en Polen die gebruik maken van de Trojan.
De primaire infectie vector is phishing campagnes en frauduleuze e-mails, evenals exploit-kits zoals RIG. De kwaadaardige e-mails bevatten vervaardigde documenten van Microsoft Word-of RTF-bijlagen met macro ‘ s neerzetten en uitvoeren van obfuscated VB stagers.
De documenten te exploiteren CVE-2017-11882, een buffer flow beveiligingsprobleem in Microsoft Office Equation Editor-Component die werd ontdekt terug in 2017.
Als een target-systeem niet is hersteld, de bug die het mogelijk maakt de uitvoering van arbitraire code.
De nieuwe malware variant maakt ook aanzienlijke gebruik van Tor, met een command-and-control (C2) – server die in het anonimiseren van onion router network. Kronos maakt nu verbinding met meerdere Tor-nodes die zich in verschillende landen om te communiceren met de C2-server.
Sommige versies van de malware ook ondersteuning afstandsbediening door middel van een aangepaste LibVNCServ – er-bibliotheek.
Zie ook: Cryptojacking campagne benutten van Apache Struts 2 fout doodt uit de wedstrijd
Eenmaal uitgevoerd, op een doel-systeem, Kronos zal proberen te stelen van gegevens uit een verscheidenheid van bronnen. In het bijzonder, de malware zal het Windows-register wijzigen om het inspuiten van kwaadaardige code in browsers, en dus als een bank domein is bezocht, een man-in-browser-aanval wordt uitgevoerd.
Firefox-browser-beveiliging-instellingen kunnen ook worden verlaagd.
Kronos zal oogsten vorm waarden van onwetende slachtoffers die hun online accounts en kan ook gedrag verder keylogging te krijgen legitieme bank referenties. De laatste configuraties voor het kwaadaardige script gebruikt wordt gedownload periodiek van de C2-server.
TechRepublic: Waarom wachtwoorden zijn een verschrikkelijke methode van verificatie
Om het handhaven van persistentie, Kronos kan zichzelf kopiëren naar de C: Users%AppDataRoaming map, naast de Tor en kwaadaardige uitvoerbare bestanden Dll ‘ s. De malware zal ook het schrijven zelf op te starten.
De evolutie van de Kronos malware is geen goed nieuws voor banken en consumenten. Zolang de markt voor waardevolle, financiële gegevens is sterk, malware ontwikkelaars zullen doorgaan met het verfijnen en verbeteren van hun creaties — profiteren van de opbrengst van malware aankopen en abonnementen in het proces.
CNET: Equifax van de hack, één jaar later: Een blik terug op hoe het is gebeurd en wat er is veranderd
In Maart, Webroot onderzoekers ontdekten dat de TrickBot Trojan had ook geleerd een aantal nieuwe trucs, waaronder een nieuw bestand sluitsysteem vaker te vinden in de ransomware-stammen.
Vorige en aanverwante dekking
De ultieme gids voor het vinden en doden van spyware en stalkerware op uw smartphone Cisco waarschuwt klanten van kritieke beveiligingsfouten, advies bevat Apache Struts Vodafone: U gebruikt 1234 zoals uw wachtwoord en werden gehackt? U dekking van de kosten
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0