Аналитики компании Proofpoint рассказали об обнаружении переработанной версии банковского трояна Kronos, которая задействована как минимум в трех вредоносных кампаниях. Напомним, что "зенит славы" этой малвари пришелся на 2014 год, когда троян активно продавался на хакерских форумах.
Исследователи Proofpoint пишут, что новые образцы Kronos были обнаружены еще в апреле 2018 года. Однако, судя по всему, весной текущего года злоумышленники лишь тестировали обновленную малварь, тогда как полноценные вредоносные кампании были запущены лишь в июне. Аналитики отмечают, что теперь банкер распространяется через спамерские письма и наборы эксплоитов и нацелен на пользователей различных банков в Японии, Германии и Польше.
Исследователи отмечают, что между версиями 2018 и 2014 годов по-прежнему много общего. К примеру, новые образцы Kronos по-прежнему используют те же механизмы шифрования коммуникаций с управляющим сервером, тот же C&C-протокол и шифрование, тот же формат веб-инжектов (формат Zeus) и так далее. Однако есть и различия, например, панели управления C&C-серверов Теперь доступны только через Tor.
Одновременно с обнаружением новой версии банкера экспертами, некто начал рекламировать малварь на хакерских форумах, называя ее новой разработкой под названием Osiris. Хотя исследователям не удалось получить исходные коды Osiris, исходя из описания и ряда странных совпадений они полагают, что под этим названием скрывается именно Kronos 2018 года.
Известный британский ИБ-специалист Маркус Хатчинс (Marcus Hutchins, так же известный под псевдонимом MalwareTech), которого обвиняют в создании продаже Kronos образца 2014 года, уже прокомментировал происходящее в своем Twitter. "Меня еще судят за то, что я написал Kronos, а тем времени его реальный автор по-прежнему обновляет код", — пишет Хатчинс.
