새로운 Kronos 변종의 첫번째 샘플은 올 4월 발견됐다.
연구원에 따르면 "초기 샘플들은 테스트로 파악되고 실제 캠페인은 6월 말부터 시작 되었다. 이 시기부터 새로운 버전을 실제 사용자들에게 배포하는 악성 스팸 및 익스플로잇 키트를 탐지할 수 있었다"고 설명했다. 주로 독일, 일본, 폴란드를 노래는 캠페인이었다.
프루프포인트는 독일, 일본, 폴란드의 은행 사용자들을 노리는 캠페인 3개 및 테스트 공격 1회를 발견한 것이다.
이 캠페인에서 사용 된 악성코드는 Kronos의 오리지널 버전은 아니며, 2014년 버전과 비교했을 때 여러 업데이트를 받은 것으로 분석됐다.
연구원들은 2014년 및 2018년 버전의 코드를 비교했을 때 많은 부분이 중복된다고 밝혔다.
유사한 점은, 2018년 버전이 동일한 윈도우 API 해싱 기술 및 해시, 문자열 암호화 기술, C&C 암호화 메커니즘, C&C 프로토콜 및 암호화, webinject 포맷(Zeus 포맷), 그리고 유사한 C&C 패널 파일 레이아웃을 사용한다는 점이다.
두 버전의 가장 큰 차이점은 2018년 버전이 토르 호스팅 C&C 제어판을 사용한다는 것이다.
연구원들이 Kronos의 변종의 급증을 발견한 것과 동일한 시기에, 한 악성코드 제작자는 해킹 포럼에 Osiris라는 새로운 뱅킹 트로이목마를 광고하기 시작했다.
연구원들은 Osiris 악성코드의 샘플을 얻지는 못했지만, 해당 광고의 내용을 살펴본 결과 Kronos 2018년 버전과 완벽하게 동일하다고 밝혔다.
가장 큰 단서는 Osiris의 크기다. 이 제작자는 Osiris가 350KB라 광고하고 있으며, Kronos 2018년 초기 샘플은 351KB다. 또한 이 샘플의 이름은 os.exe였습니다. [정보. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★