Nguy hiểm đã trở lại với các ngân hàng khi virus Trojan Kronos được tái sinh dưới tên mới là Osiris.
Theo công ty bảo mật Profpoint, Kronos lần đầu tiên được phát hiện vào năm 2014 và là vật cố định trong cảnh quan đe dọa trong một vài năm trước khi phần lớn biến mất. Hiện nay một biến thể mới đã xuất hiện với ít nhất là ba chiến dịch riêng biệt tương ứng, nhắm mục tiêu đến Đức, Nhật bản và Ba Lan.
Vào tháng 4 năm 2018, các mẫu biến thể đầu tiên của virus Trojan ngân hàng đã xuất hiện tự nhiên. Tính năng mới nhất đáng chú ý là cơ chế lệnh và điều khiển (C&C) đã được tái cấu trúc để sử dụng mạng ẩn danh Tor.
Proofpoint giải thích (24/7) rằng có một số nghiên cứu và bằng chứng cho thấy phiên bản Kronos mới này đã được đổi tên thành “Osiris” và đang được bán trên thị trường ngầm.
Trên trang web của mình, công ty đi sâu vào các phân tích sâu và trình bày thông tin về các chiến lược ở Đức, Nhật Bản và Ba Lan cũng như chiến dịch thứ tư có vẻ là một công việc tiến hành dưới dạng thử nghiệm.
Không có thời gian hoặc không gian để liên kết mọi khía cạnh của nghiên cứu ấn tượng đó, tuy nhiên, đây là ví dụ đáng chú ý.
Proofpoint nói dựa trên một tweet từ một nhà nghiên cứu bảo mật, điều tra một chuỗi độc hại gửi nạn nhân đến một trang web có chứa các đoạn mã JavaScript độc. Mã độc JavaScript này chuyển hướng nạn nhân đến bộ khai thác RIG, bộ phân phối tải mã độc. Trong trường hợp này, phiên bản tải về là phiên bản mới của Kronos.
Ví dụ trong chiến dịch ở Nhật Bản, Kronos nhắm mục tiêu đến 13 tổ chức tài chính của Nhật Bản.
Mã độc Kronos đã được ghi nhận trước đây. Nó sử dụng các kỹ thuật sử dụng trình duyệt của người dùng cũng như các quy tắc webinject để sửa đổi các trang web của các tổ chức tài chính, tạo điều kiện cho hành vi trộm cắp thông tin người dùng, thông tin tài khoản, thông tin người dùng khác và tiền thông qua các giao dịch gian lận.
Phiên bản 2018 có nhiều điển tương đồng với các phiên bản cũ.
Theo Bankingtech
