نسخه جدید بدافزار Kronos برای سرقت اطلاعات حساب‌های بانکی

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

نسخه جدید بدافزار Kronos برای سرقت اطلاعات حساب‌های بانکی
q927
تروجان‌های شناخته شده Zeus، Gozi و Citadel بدافزارهایی هستند که روی سرقت اطلاعات احرازهویت بانکی تمرکز دارند. آنها این اطلاعات را برای نفوذ به حساب‌های بانکی آنلاین، جعل هویت و فروش در فروم‌های زیر زمینی و وب تاریک به سرقت می‌برند.
اخیرا بدافزاری با نام Kronos کشف شده که با تروجان Zeus در ارتباط است. در اساطیر یونان Kronos پدر Zeus محسوب می‌شود که در این بدافزارها نیز این ارتباط وجود دارد و تروجان Zeus از فایل‌های تزریق شده توسط Kronos بهره‌برداری می‌کند و توسعه‌دهنده آن، بدافزار را بطور سازگار با Zeus نوشته است. بدافزار Kronos ابتدا در فروم‌های زیرزمینی روسی در سال ۲۰۱۴ مشاهده شد که با قیمت ۷۰۰۰ دلار و یا نسخه زمانی یک هفته‌ای به مبلغ ۱۰۰۰ دلار به فروش می‌رسید. توسعه‌دهندگان Kronos برای خریداران خود بروزرسانی، برط‌‌رف‌سازی باگ و توسعه ماژول‌های جدید را فراهم می‌کنند. در ماه جولای سال جاری ویرایش جدیدی از این بدافزار با عنوان Osiris کشف شد.
حملات از طریق ایمیل‌های فیشینگ و اکسپلویت‌کیت‌ها از جمله RIG آغاز شدند. ایمیل‌های مخرب از اسناد Word و فایلهای RTF حاوی ماکروهای مخرب استفاده می‌کنند. اسناد از آسیب‌پذیری سرریز بافر پشته CVE-۲۰۱۷-۱۱۸۸۲ سوء استفاده می‌کنند. بدافزار Kronos از چندین گره Tor مستقر در چند کشور مختلف برای ارتباط با سرور C&C استفاده می‌کند. پس از اجرا، بدافزار رجیستری ویندوز را تغییر می‌دهد تا به مرورگرها نفوذ کند و پس از مراجعه قربانی به سایت بانکی، اطلاعات را به سرقت ببرد. همچنین تنظیمات امنیتی مرورگر Firefox را نیز کاهش می‌دهد.
برای پایداری در سیستم، Kronos در پوشه C: \Users\%\AppData\Roaming قرار داده می‌شود و در Startup نیز قرار می‌گیرد تا در هنگام راه‌اندازی ویندوز اجرا شود.

منبع:
/https://www.zdnet.com/article/new-father-of-zeus-kronos-malware-variant-exploits-office-bug-to-hijack-your-bank-account

منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری