Исследователи из Securonix опубликовали результаты мониторинга атак банкера Kronos, новая версия которого активно распространяется через спам. Для доставки зловреда используется эксплойт к уязвимости в Microsoft Office, которую разработчик пропатчил в конце прошлого года.

По словам экспертов, банковский троян Kronos впервые засветился на хакерских форумах в 2014 году. Как и другие многочисленные аналоги, он использует веб-инжекты для хищения учетных данных. Эту информацию злоумышленники могут использовать для отъема денег через системы онлайн-банкинга, кражи личности или составления списков ворованных идентификаторов, пользующихся неизменным спросом на черном рынке.

Новейшая версия Kronos, именуемая Osiris, объявилась в Интернете в июле текущего года. Аналитики из Proofpoint зафиксировали несколько киберкампаний, нацеленных на засев обновленного зловреда. В Германии и Польше он раздавался через спам, в Японии — через рекламные баннеры, запускающие цепочку редиректов на страницы с эксплойтами RIG.

Наблюдения Securonix подтвердили, что Osiris распространяется с помощью эксплойт-паков и email-рассылок. В последнем случае злоумышленники задействуют специально созданные документы Microsoft Word и RTF-вложения со встроенным макроконтентом или OLE-объектом, активация которого запускает цепочку заражения.

Вредоносные документы нацелены на эксплуатацию уязвимости CVE-2017-11882 в редакторе формул Equation Editor, созданном сторонним разработчиком. Microsoft залатала брешь в программе, включенной в ее набор Office, в ноябре прошлого года, а затем и вовсе отказалась от ее использования. По всей видимости, распространители Osiris рассчитывают на то, что патчи не везде установлены.

Банкер Osiris примечателен тем, что широко использует возможности сети Tor: его командные серверы размещены в доменной зоне .onion, и все подключения к ним невозможно отследить. Обновленный троян также снабжен кейлоггером и кастомной версией библиотеки LibVNCServer, предоставляющей оператору удаленный контроль.

Для обеспечения постоянного присутствия Osiris может скопировать себя вместе с исполняемыми файлами Tor и несколькими DLL в папку C: \Users\%\AppData\Roaming. После запуска он прописывается в меню «Пуск» и создает ярлык в папке автозагрузки. Чтобы облегчить MitB-атаки, зловред через системный реестр изменяет настройки зон безопасности Internet Explorer; соответствующая защита в Firefox после заражения тоже может оказаться ослабленной. Kronos/Osiris также умеет определять, когда он запускается в песочнице или виртуальной машине. Это помогает ему уклоняться от обнаружения и анализа.

Категории: Аналитика, Вредоносные программы, Уязвимости