针对德国,日本,波兰的木马可能是2018版Kronos Osiris木马
Proofpoint安全研究人员表示,新版本的Kronos银行木马正在进行窃听,他们表示已经确定了最近三次宣传这个2014年流行旧木马的是翻新版本。
根据昨天晚上发布的一份报告,今年4月就发现了这种新型Kronos变种木马的第一批样本。
虽然最初的样本似乎只是测试,但的确在6月下旬就开始实施了,当时研究人员开始检测malspam并利用套件向其他用户提供这个新版本。
活动针对德国,日本,波兰
Proofpoint报告发现了针对德国,日本和波兰银行用户的三个活动和一个测试程序。
日期 | 广告系列类型 | 目标 | C&C |
|---|---|---|---|
2018年6月27日至30日 | Malspam,宏观的Word文档 | 5家德国金融机构的用户 | HTTP:[。] // jhrppbnh4d674kzhonion/ kpanel / connect.php |
2018年7月13日 | RIG EK | 13家日本金融机构的用户 | HTTP:[。] // jmjp2l7yqgaj5xvvonion/ kpanel / connect.php |
2018年7月15日至16日 | Malspam,CVE-2017-11882 | 波兰的用户 | HTTP:[。] // suzfjfguuis326qwonion/ kpanel / connect.php |
2018年7月20日 | 软件下载站点 | 测试运行 | hxxp:[。] // mysmo35wlwhrkeezonion/ kpanel / connect.php |
在此活动中使用的恶意软件不是原来的Kronos,而是它相对于2014版[ 1,2,3,4 ]的更新版本。
Proofpoint报告了2018年和2014年版本之间大规模的代码重叠。相似之处包括2018版本使用相同的Windows API散列技术和散列,相同的字符串加密技术,相同的C&C加密机制,相同的C&C协议和加密,相同的webinject格式(Zeus格式)以及类似的C&C面板文件布局。
但这两个版本并不完全相同。主要区别在于2018版使用Tor托管的C&C控制面板。
Kronos 2018版可能是新的Osiris木马
研究人员说,与此同时,这种新的Kronos变种木马开始出现在他们的视野范围,一名恶意软件作者开始在黑客论坛上宣传一种新的银行木马,他称之为Osiris。
Proofpoint的研究人员并未设法获得这种新Osiris恶意软件的样本,但他们表示该宣传完美地描述了Kronos 2018版本。
主要的线索是这个新特洛伊木马的作者声称他的木马只有350 KB大小,接近于早期Kronos 2018版样本研究人员4月份发现的(351 KB)大小。这究竟是不是巧合呢?虽然没有得到证实,但该样本被命名为os.exe,很大几率是来自Osiris。
Kronos的再次出现是因为看到其他银行的特洛伊木马在2017年和2018年初的分销工作平静下来之后出现得懈怠期。
安全研究人员Marcus Hutchins(又名MalwareTech)因涉嫌开发2014年版Kronos银行木马而面临法律指控。
- 发表于:
- 原文链接:https://www.bleepingcomputer.com/news/security/new-version-of-the-kronos-banking-trojan-discovered/
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
