Una nueva versión de Kronos fue descubierta por el equipo de investigadores de Seguridad de ProofPoint, donde detectaron al menos tres campañas de difusión del malware, en Alemania, Japon y Polonia. Marcus Hutchins fue el creador inicial de este malware y ha sido distribuido desde el año 2014 en adelante,
Kronos es un troyano que inicialmente fue creado para poder robar credenciales bancarias e información personal de sus víctimas. Pero de acuerdo al reporte entregado por Proofpoint, existen unas muestras que indican que este malware muto y que habría una nueva variante detectada en abril de este año.
Una de las nuevas características de esta nueva versión del malware es que para conectarse con el centro de comandos ( C&C ) utiliza la red anónima TOR. Se sugiere que esta nueva versión fue bautizada como "Osiris" y que estaría vendiéndose en los mercados clandestinos.
La campaña de phishing que esta asociada a Alemana contiene dos archivos maliciosos que son .doc
- agb_9415166.doc
- Mahnung_9415167.doc
Los documentos de words, contienen macros ques si las habilitas, descargan e instalan la nueva variante de Kronos.
Proofpoint informa una superposición de código extensa entre las versiones de 2018 y 2014. Las similitudes incluyen que la versión 2018 utiliza la misma técnica de hash API de Windows y hashes, la misma técnica de encriptación de cadenas, el mismo mecanismo de cifrado C & C, el mismo protocolo y cifrado C & C, el mismo formato de documento web (formato Zeus) y un archivo similar de panel C & C diseño.
Pero las dos versiones no son idénticas. La principal diferencia es que la edición 2018 usa paneles de control C & C alojados por Tor.
