Аналитики компании Proofpoint рассказали об обнаружении переработанной версии банковского трояна Kronos, которая задействована как минимум в трех вредоносных кампаниях. Напомню, что «зенит славы» этой малвари пришелся на 2014 год, когда троян активно продавался на хакерских форумах.

Исследователи Proofpoint пишут, что новые образцы Kronos были обнаружены еще в апреле 2018 года. Однако, судя по всему, весной текущего года злоумышленники лишь тестировали обновленную малварь, тогда как полноценные вредоносные кампании были запущены лишь в июне. Аналитики отмечают, что теперь банкер распространяется чрез спамерские письма и наборы эксплоитов и нацелен на пользователей различных банков в Японии, Германии и Польше.

Исследователи отмечают, что между версиями 2018 и 2014 годов по-прежнему много общего. К примеру, новые образцы Kronos по-прежнему используют те же механизмы шифрования коммуникаций с управляющим сервером, тот же C&C-протокол и шифрование, тот же формат веб-инжектов (формат Zeus) и так далее. Однако есть и различия, например, панели управления C&C-серверов Теперь доступны только через Tor.

Одновременно с обнаружением новой версии банкера экспертами, некто начал рекламировать малварь на хакерских форумах, называя ее новой разработкой под названием Osiris. Хотя исследователям не удалось получить исходные коды Osiris, исходя из описания и ряда странных совпадений они полагают, что под этим названием скрывается именно Kronos 2018 года.

Известный британский ИБ-специалист Маркус Хатчинс (Marcus Hutchins, так же известный под псевдонимом MalwareTech), которого обвиняют в создании продаже Kronos образца 2014 года, уже прокомментировал происходящее в своем Twitter. «Меня еще судят за то, что я написал Kronos, а тем времени его реальный автор по-прежнему обновляет код», — пишет Хатчинс.

I'm still on trial for writing Kronos, meanwhile the real author is still updating the code ??? https://t.co/pDYARvn0nk

— MalwareTech (@MalwareTechBlog) July 24, 2018

Теги: CSS, Kronos по-прежнему Kronos, июля финансовых