首页 > 安全 > 正文

新的克拉肯僵尸网络允许运营商每月获得3,000美元

最后更新 :2022.02.24

研究人员发现了一个叫做克拉肯的新的Golang的僵尸网络,该僵尸网络受到主动开发,支持大量的后门能力。

克拉肯是由威胁情报的研究人员在2021年10月10日下发的基于戈兰的僵尸网络发现坚定的Zerofox智力。专家指出,尽管有同名,但这个僵尸网络不应该与2008年发现的克拉肯僵尸网络混淆。

僵尸网络似乎在主动开发中,它支持广泛的后门功能,例如下载和执行辅助恶意有效载荷和运行shell命令的能力。

它目前使用Smokeloader Loader来安装其他恶意有效载荷。

克拉肯攻击链最初利用Smokeloader下载的自我提取RAR SFX文件。这些SFX文件包含了克拉肯,redline偷窃者的UPX包装版本,以及用于删除克拉肯的另一个二进制文件。新的克拉肯的版本是直接用Smokeloader下载的。

通过&nbsp的提示; @abuse_ch,zerofox了解到克拉肯最初在SypleLoader下载的自我提取的RAR SFX文件中传播。这些SFX文件包含了克拉肯,redline偷窃者的UPX包装版本,以及用于删除克拉肯的另一个二进制文件。通过Zerofox读取分析。当前版本的克拉肯现在直接通过Smokeloader下载。克拉肯二进制文件仍然是UPX包装,但现在也进一步保护了Themida包装机。

已发现克拉肯机器人的早期变体基于GitHub上提供的源代码,但在这次尚不清楚代码是否由僵尸网络运营商上传。

专家自10月2021年以来发现了多个版本的管理面板或仪表板。上传的代码包括服务器,但它没有基于Web的接口来管理僵尸网络。

kraken botnet

Krakens作者通过实施新功能不断更新代码。当前版本可以从多个平台中窃取来自受感染的主机和目标钱包的广泛信息,包括军械库,原子钱包,Bytecoin,Electrum,Etereum,Exodus,Guarda,Jaxx Liberty和Zcash。它利用了瑞恩凭据,信用卡数据,cookie,存储在浏览器中,加密货币钱包,存储在&nbsp的凭据的自动完成信息的自动完成信息; VPN客户端和FTP客户端。 根据专家,根据专家,克拉肯说僵尸网络允许运营商每月赚取约3,000美元。 虽然在发展中,克拉肯C2似乎经常消失。Zerofox在多个场合观察了服务器的DWWINDING活动,只有另一个在稍后使用新端口或全新IP出现短时间。结束了报告。它目前未知操作员打算与被盗的凭证有何关系已收集或结束目标用于创建新僵尸网络

- END -

看更多