El troyano bancario Kronos regresa con el nombre de Osiris

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Después de años de permanecer latente, el troyano bancario Kronos ha vuelto. Los hackers han rediseñado el código subyacente y están atacando activamente a víctimas en Alemania, Japón y Polonia.

La última variante ha incorporado una nueva función de comando y control diseñada para trabajar con la red anónima de Tor, según un análisis de los investigadores de Proofpoint. Creen que Kronos no solo ha sido remodelado, sino que también ha sido rebautizado como Osiris, el nombre que algunos delincuentes están usando para un troyano casi idéntico que se vende en mercados clandestinos.

"Si bien existe evidencia significativa de que este malware es una nueva versión o variante de Kronos, también hay evidencia circunstancial que sugiere que ha sido rebautizado y se está vendiendo como el troyano bancario Osiris", apunta Proofpoint.

Desde el 27 de junio, los investigadores han observado cuatro campañas distintas que contienen archivos maliciosos que finalmente conducen a la descarga del troyano Kronos / Osiris. Recientes campañas de spam en Alemania se han enviado a clientes de compañías financieras con el asunto "Actualización de nuestros términos y condiciones". En estas ofensivas, las muestras de malware usaban la URL "http:// jhrppbnh4d674kzh[. ]onion/kpanel/connect.php" como su C&C.

"Los documentos de Word contenían macros que, si se activaban, descargaban y ejecutaban una nueva variante del troyano bancario Kronos. En algunos casos, el ataque utilizó un smoke-loader intermedio", explican los investigadores. Un smoke-loader es el nombre de una pequeña aplicación que normalmente se usa para descargar malware adicional en un ataque.

En Japón, los ataques observados del 15 al 16 de julio estuvieron basados en publicidad maliciosa. "Investigamos una cadena de malvertising que enviaba víctimas a un sitio que contenía inyecciones de JavaScript maliciosas", señalan los analistas. "Este JavaScript redireccionó a las víctimas al exploit kit RIG, que distribuía el malware descargable del smoke-loader".

En Polonia, los días 15 y 16 de julio los atacantes utilizaron correos electrónicos con archivos adjuntos de facturas falsas maliciosas. En esta campaña, los atacantes utilizaron archivos adjuntos para explotar la vulnerabilidad de Microsoft Equation Editor (CVE-2017-11882) parcheada el año pasado.

Proofpoint observó una cuarta campaña en progreso el 20 de julio que parecía usar un sitio web de descarga de música en inglés para atraer a las víctimas. "Todavía no conocemos el vector exacto para esta campaña, pero esta instancia de Kronos está configurada para usar hxxp://mysmo35wlwhrkeez[.]Onion/kpanel/connect.php como su C&C, y se puede descargar haciendo clic en el botón "Get It Now" de un sitio web que afirma ser un reproductor de música en tiempo real", aseguran los investigadores.