Reading Time: 2 minutes

O Pai de Zeus, Kronos malware, explora um bug do Microsoft Office de forma a sequestrar contas bancárias. 

Kronos, também conhecido como o “pai de Zeus”, é uma forma de malware particularmente perniciosa e que simplesmente não desaparece.

O Zeus, o Gozi e o Citadel são Trojans bem conhecidos que concentram os seus esforços no roubo de credenciais financeiras que podem ser usadas por threat actors para comprometer contas bancárias on-line, conduzir roubo de identidade ou roubar dados que depois são vendidos na Dark Web.

Na mitologia grega, Cronos é o pai de Zeus. No mundo das ferramentas black hat, parece existir uma relação um pouco semelhante – uma ligação solicitada pelos ficheiro de injeção do Kronos que são especificamente criados pelo developer do malware para serem compatíveis com as variantes do Zeus.

Descoberta pela primeira vez em fóruns clandestinos russos em 2014, o Kronos chega com um preço premium de US$7.000, além de uma opção de “teste” de uma semana por US $1.000.

Os developers do Kronos, em troca desses pagamentos, prometem atualizações constantes, correções de bugs e o desenvolvimento de novos módulos.

Na terça-feira, foi publocada uma nova investigação sobre o malware, afirmando que a última versão do Kronos, também conhecida como Osíris, foi descoberta em julho deste ano.

osiris

Três campanhas distintas e separadas do malware já estão em andamento na Alemanha, no Japão e na Polónia.

O principal vetor de infecção são campanhas de phishing e e-mails fraudulentos, que contêm documentos do Office ou anexos RTF com macros que executam tarefas ou scripts VB, além de kits de exploração como o RIG.

Os documentos exploram o CVE-2017-11882, uma vulnerabilidade buffer overflow no componente do Microsoft Office Equation Editor que foi descoberto em 2017.

Se um sistema não foi fixed, o bug permite a execução de código arbitrário.

A nova variante de malware também faz uso substancial do Tor, com um C&C server alojado na rede. O Kronos liga-se a vários nós Tor localizados em vários países para comunicar com o servidor C&C, o que dificulta a sua deteção.

Algumas versões do malware também suportam controle remoto através de uma biblioteca LibVNCServer personalizada.

Uma vez executado num sistema de destino, o Kronos tentará roubar dados de uma variedade de fontes. Em particular, o malware modifica o registro do Windows para permitir a injeção de códigos maliciosos nos navegadores web, e assim, quando um domínio do banco é visitado, um ataque man-in-the-browser é executado.

O malware recolhe os dados que as vítimas introduzierem nos formulários e que “casem” com URLs de plataformas ebanking. Também poderá realizar keylogging para obter credencias diretamente.

Configurações recentes são atualizadas diretamente pelo próprio malware via C&C server.

 

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.