В сети обнаружен преемник легендарного трояна Kronos

Как известно, Kronos является банковским трояном

Взглянем на новое произведение

Kronos является мощной вредоносной программой. Впервые он был замечен на русскоязычных форумах в 2014 году. Стоимость "Кроноса" составляет 7 тысяч долларов или же есть вариант недельного пробного периода, который обойдется "всего" в 1 тысячу. За эти деньги разработчики трояна обещают регулярную поддержку, исправление уязвимостей, а также добавление новых модулей.

Исследователи из Securonix провели анализ вредоносных программ и обнаружили в июле этого года обновленный Kronos. Новый вариант трояна называется Osiris. При этом Осирис уже замечен в нескольких кампаниях в таких странах как:

  • Япония,
  • Германия,
  • Польша.

Основной способ заражения новым трояном — фишинг. Вредоносные письма содержат документы Microsoft Word и (или) RTF с макросами, которые загружают стейджер на Visual Basic. Документ Word использует уязвимость 2017 года, которая связана с переполнением буфера в Microsoft Office Equation Editor Component. Благодаря этому происходит выполнение произвольного кода на необновленных системах. Некоторые версии трояна также поддерживают удаленное управление.

Для получения персистентности на компьютере троян копирует себя в папку C: \Users\%\AppData\Roaming и записывает в процесс запуска. Osiris похищает данные своих жертв с разных источников. Еще одна интересная функция: троян модифицирует реестр Windows, чтобы получить право внедрять вредоносный код в браузер. Все это необходимо для похищения данных с различных сервисов онлайн-банкинга.