Обнаружен новый «отпрыск» банковского трояна Kronos
C&C-сервер трояна Osiris находится в сети Tor, и для связи с ним он подключается ко множеству узлов Tor в разных странах
Банковский троян Kronos, также известный как «отец Zeus», является мощным вредоносным ПО и просто так не исчезнет с андеграудной сцены. Впервые он был замечен в 2014 году на русскоязычных хакерских форумах, и в настоящее время его стоимость составляет $7 тыс. (недельный пробный период обойдется в $1 тыс.). За эти деньги продавцы Kronos обещают регулярную поддержку, исправление уязвимостей и добавление новых модулей. Согласно новому отчету исследователей компании Securonix, в июле нынешнего года троян получил обещанное обновление. Новый вариант под названием Osiris уже активно используется в нескольких несвязанных между собой кампаниях в Германии, Японии и Польше.
Главный способ заражения компьютеров – фишинг и электронные письма, хотя также используется набор эксплоитов RIG. Вредоносные письма содержат вложенные документы Microsoft Word или RTF с макросами, загружающими стейджер на Visual Basic.
Документ эксплуатирует уязвимость переполнения буфера в Microsoft Office Equation Editor Component (CVE-2017-11882), обнаруженную в 2017 году и позволяющую выполнить произвольный код на необновленных системах. C&C-сервер Osiris находится в сети Tor. Для связи с ним вредонос подключается ко множеству узлов Tor, расположенных в разных странах. Некоторые версии трояна также поддерживают удаленное управление через библиотеку LibVNCServer.
Для получения персистентности на компьютере троян копирует себя в папку C: Users%AppDataRoaming и записывает в процесс запуска. После выполнения на атакуемой системе Osiris похищает данные жертв из различных источников. Среди прочего, он модифицирует реестр Windows, для того чтобы получить право внедрять вредоносный код в браузер. Когда жертва посещает сервис online-банкинга, осуществляется атака «человек в браузере».