Español | English
rss facebook linkedin Twitter

Kronos ya está aquí...

A principios de Julio hubo noticias de un posible nuevo troyano bancario llamado Kronos a la venta en foros Underground. Desafortunadamente, no había suficientes evidencias para confirmar la existencia de esta amenaza, excepto por el anuncio destacando sus principales características, las cuales eran:
  • Captura de credenciales y form grabbing con soporte para Internet Explorer, Firefox y Chrome.
  • Inyecciones Web HTML (Técnica usada para realizar ataques de tipo Man in the Browser)
  • Rootkit con versiones para sistemas operativos de 32 y 64 bits
  • Evasión de Antivirus
  • Evasión de Sandbox
  • Comunicación con el panel de control cifrada

Pues bien, realmente no ha pasado mucho tiempo hasta su aparición in the wild.

La semana pasada, nuestra plataforma de análisis de malware detectó una muestra sospechosa que captó nuestra atención. Después de un primer vistazo, destacaba una cadena de texto contenida en el binario:



Una vez que nos pusimos manos a la obra con la ingeniería inversa del mismo, se encontraron evidencias que, efectivamente, coincidían con aquellas atribuidas inicialmente a Kronos.

Como curiosidad, parece que se dejó algún tipo de mensaje oculto para nosotros (los analistas) diciendo "keep digging" (Continúa excavando) debido -suponemos- a la fuerte protección y trucos anti ingeniería inversa contenidos en la muestra.


En la imagen anterior se puede ver el mensaje, así como otras cadenas decodificadas como las correspondientes a los distintos User-Agents usados o una lista de nombres de procesos y librerías de herramientas de análisis populares, así como software de virtualización.

Una vez que se consiguen pasar las protecciones se puede ver al malware en acción conectando con su panel de control y descargando un fichero de configuración el cual, como es habitual, está cifrado...



... pero una vez descifrado, no es una sorpresa que contuviera inyecciones Web estilo ZeuS (una mezcla de HTML y código Javascript para engañar al usuario).

Debajo se puede ver un snippet del fichero de configuración con código Javascript que una vez inyectado en la sesión del navegador de la víctima será capaz de guiar al usuario a través de los distintos pasos necesarios para completar una transacción fraudulenta sin que el mismo sea consciente.



Esta muestra en particular afecta solo a instituciones financieras francesas, pero podría haber otras con configuraciones diferentes.

Finalmente, este es el aspecto del panel de control de inyecciones y el principal:


Les mantendremos informados de cualquier novedad al respecto.


Jozsef Gegeny
S21sec Ecrime
-- 
La firma MD5 de la muestra analizada por S21sec fue: f085395253a40ce8ca077228c2322010

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login