Kronos обновился и раздается через эксплойт MS Office

 
 

Исследователи из Securonix опубликовали результаты мониторинга атак банкера Kronos, новая версия которого активно распространяется через спам. Для доставки зловреда используется эксплойт к уязвимости в Microsoft Office, которую разработчик пропатчил в конце прошлого года.
По словам экспертов, банковский троян Kronos впервые засветился на хакерских форумах в 2014 году. Как и другие многочисленные аналоги, он использует веб-инжекты для хищения учетных данных. Эту информацию злоумышленники могут использовать для отъема денег через системы онлайн-банкинга, кражи личности или составления списков ворованных идентификаторов, пользующихся неизменным спросом на черном рынке.

Показать связанные сообщения

Уязвимость в Tor оставалась незакрытой несколько месяцев
11 сентября 2018 , 17:37
Mirai и Gafgyt нацелились на Apache Struts и SonicWall
11 сентября 2018 , 09:19
Этичным хакерам предложат взломать IoT-устройства
10 сентября 2018 , 15:21
Новейшая версия Kronos, именуемая Osiris, объявилась в Интернете в июле текущего года. Аналитики из Proofpoint зафиксировали несколько киберкампаний, нацеленных на засев обновленного зловреда. В Германии и Польше он раздавался через спам, в Японии — через рекламные баннеры, запускающие цепочку редиректов на страницы с эксплойтами RIG.
Наблюдения Securonix подтвердили, что Osiris распространяется с помощью эксплойт-паков и email-рассылок. В последнем случае злоумышленники задействуют специально созданные документы Microsoft Word и RTF-вложения со встроенным макроконтентом или OLE-объектом, активация которого запускает цепочку заражения.
Вредоносные документы нацелены на эксплуатацию уязвимости CVE-2017-11882 в редакторе формул MS Office, созданном сторонним разработчиком. Microsoft залатала брешь в Equation Editor в ноябре прошлого года, а затем и вовсе отказалась от его использования. По всей видимости, распространители Osiris рассчитывают на то, что патчи не везде установлены.
Банкер Osiris примечателен тем, что широко использует возможности сети Tor: его командные серверы размещены в доменной зоне .onion, и все подключения к ним невозможно отследить. Обновленный троян также снабжен кейлоггером и кастомной версией библиотеки LibVNCServer, обеспечивающей оператору удаленный контроль.
Для обеспечения постоянного присутствия Osiris может скопировать себя вместе с исполняемыми файлами Tor и несколькими DLL в папку C: Users%AppDataRoaming. После запуска он прописывается в меню «Пуск» и создает ярлык в папке автозагрузки. Чтобы облегчить MitB-атаки, зловред через системный реестр изменяет настройки зон безопасности Internet Explorer; соответствующая защита в Firefox после заражения тоже может оказаться ослабленной. Kronos/Osiris также умеет определять свой запуск в песочнице и виртуальной машине, это помогает ему уклоняться от обнаружения и анализа.

Добавить комментарий