Kronos, também conhecido como o “pai de Zeus”, é uma forma de malware particularmente perniciosa e que simplesmente não desaparece.
O Zeus, o Gozi e o Citadel são Trojans bem conhecidos que concentram os seus esforços no roubo de credenciais financeiras que podem ser usadas por threat actors para comprometer contas bancárias on-line, conduzir roubo de identidade ou roubar dados que depois são vendidos na Dark Web.
Na mitologia grega, Cronos é o pai de Zeus. No mundo das ferramentas black hat, parece existir uma relação um pouco semelhante – uma ligação solicitada pelos ficheiro de injeção do Kronos que são especificamente criados pelo developer do malware para serem compatíveis com as variantes do Zeus.
Descoberta pela primeira vez em fóruns clandestinos russos em 2014, o Kronos chega com um preço premium de US$7.000, além de uma opção de “teste” de uma semana por US $1.000.
Os developers do Kronos, em troca desses pagamentos, prometem atualizações constantes, correções de bugs e o desenvolvimento de novos módulos.
Na terça-feira, foi publocada uma nova investigação sobre o malware, afirmando que a última versão do Kronos, também conhecida como Osíris, foi descoberta em julho deste ano.
Três campanhas distintas e separadas do malware já estão em andamento na Alemanha, no Japão e na Polónia.
O principal vetor de infecção são campanhas de phishing e e-mails fraudulentos, que contêm documentos do Office ou anexos RTF com macros que executam tarefas ou scripts VB, além de kits de exploração como o RIG.
Os documentos exploram o CVE-2017-11882, uma vulnerabilidade buffer overflow no componente do Microsoft Office Equation Editor que foi descoberto em 2017.
Se um sistema não foi fixed, o bug permite a execução de código arbitrário.
A nova variante de malware também faz uso substancial do Tor, com um C&C server alojado na rede. O Kronos liga-se a vários nós Tor localizados em vários países para comunicar com o servidor C&C, o que dificulta a sua deteção.
Algumas versões do malware também suportam controle remoto através de uma biblioteca LibVNCServer personalizada.
Uma vez executado num sistema de destino, o Kronos tentará roubar dados de uma variedade de fontes. Em particular, o malware modifica o registro do Windows para permitir a injeção de códigos maliciosos nos navegadores web, e assim, quando um domínio do banco é visitado, um ataque man-in-the-browser é executado.
O malware recolhe os dados que as vítimas introduzierem nos formulários e que “casem” com URLs de plataformas ebanking. Também poderá realizar keylogging para obter credencias diretamente.
Configurações recentes são atualizadas diretamente pelo próprio malware via C&C server.