El troyano bancario Kronos, que se descubrió por primera vez en el 2014, está de vuelta, y los analistas de ciberseguridad dicen que una versión actualizada está ahora dirigida a Europa y Japón.

La nueva variante del troyano se detectó por primera vez cuando se enviaron documentos maliciosos a las instituciones financieras alemanas, según los analistas de ciberseguridad de Proofpoint, que ayer publicaron un informe sobre el nuevo troyano.

Proofpoint comentó en su informe que “Los documentos de Word contenían macros que, si se habilitaban, descargaban y ejecutaban una nueva variante del troyano bancario Kronos. En algunos casos, el ataque usó un Smoke Loader intermedio “.

Un Smokerloader es una aplicación que puede evadir la detección del antivirus cambiando la marca de tiempo de su ejecutable y ocultando los archivos modificados.

Con esta nueva variante de Kronos, Proofpoint descubrió que: “Una de las principales diferencias entre las versiones nuevas y antiguas es el uso de las URLs de C&C de .onion junto con Tor para ayudar a anonimizar las comunicaciones”.

En venta

Kronos apareció por primera vez en Rusia en un sitio underground donde se vendía al rededor de $7,000 al mes.

Cuando el troyano está instalado en una computadora, activara el keylogger que registrará las pulsaciones de tecla del usuario, que posiblemente estará digitando información confidencial, como credenciales de inicio de sesión.

Una de las características de Kronos es que podía cambiar el formato de las páginas web de los sitios bancarios para que incluyan páginas de formularios adicionales donde los usuarios puedan ingresar detalles de la cuenta y números de identificación personal.

Proofpoint cree que han identificado no solo la nueva variante de Kronos, sino una campaña para vender el troyano bajo el nombre de Osiris.

“Al mismo tiempo que aparecían muestras de la nueva versión de Kronos, un anuncio de un nuevo troyano bancario llamado “Osiris” (el dios egipcio del renacimiento) apareció en un foro de hacking underground”, señalaron.

El anuncio en el foro de hacking underground dice que el tamaño del archivo de Osiris es de 350 KB, que es similar en tamaño a las muestras que tenemos de Kronos.

Este malware se vende bajo un acuerdo de licencia por al rededor de $2,000 al mes.

Proofpoint dice que: “La reaparición de Kronos, un troyano bancario exitoso y de bastante alto perfil, es consistente con la mayor prevalencia de banqueros en todo el panorama de amenazas”.

“La primera mitad de este año ha estado marcada por una diversidad sustancial entre las campañas de correo electrónico malicioso, pero los troyanos bancarios en particular han predominado”, señalan.

También puedes leer: MysteryBot – el nuevo malware para Android que fusiona keylogger, ransomware y troyano bancario

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *