Osiris amplia capacidades do trojan bancário Kronos com comunicação via Tor

Malware para Windows reaproveita código do Kronos, adiciona VNC e keylogger nativos, coleta credenciais de navegadores e clientes de e-mail e oculta o tráfego de comando e controle sob conexões Tor.

Componente	Trojan bancário Osiris para Windows, descrito como uma evolução baseada no código do Kronos.
Vetor	Execução do binário Osiris em um sistema Windows já comprometido; o material analisado não descreve o mecanismo de entrega inicial.
Impacto	Coleta de dados de navegadores e clientes de e-mail, keylogging, controle remoto via VNC/RFB e comunicação com C&C ocultada por Tor e TLS.
Prioridade	Caçar artefatos locais de Kronos/Osiris, revisar telemetria de Tor em endpoints, validar credenciais expostas e isolar hosts com sinais de coleta ou injeção.
Artefatos	Objetos globais `Global\{AD3EBBCA-D942-886C-AD3E-CABB824AEA00}` e `Global\{2C240B38-28B0-DE58-2C24-380BA08C4000}` foram descritos como indicadores locais.
Capacidades	Web-injects no estilo Zeus, form grabbing em navegadores, leitura de dados do Chrome e Firefox, coleta de chaves de perfil do Outlook e uso de `SetWindowsHookEx()` para captura de teclado.

Resumo técnico

Osiris é um trojan bancário para Windows apresentado como uma evolução direta do Kronos. A relação técnica entre as duas famílias aparece em funções equivalentes, trechos de código idênticos, geração semelhante de mutex global, uso de hashing MD5 sobre o número de série do volume do sistema e lógica parecida para interação com configuração, beacon e coleta de dados. O malware mantém o núcleo operacional de um trojan bancário: interceptação de dados sensíveis, compatibilidade com web-injects no estilo Zeus, form grabbing em navegadores amplamente usados e tentativa de operar de forma furtiva em ambientes monitorados.

A principal mudança observada em Osiris é a expansão das capacidades que em Kronos apareciam como plugins ou componentes adicionais. A amostra descrita incorpora controle remoto via VNC, keylogging e comunicação com infraestrutura de comando e controle por meio de Tor. Em vez de expor diretamente a conexão com o servidor C&C, o tráfego é encapsulado no relacionamento entre o bot e um relé Tor, sob TLS, reduzindo a visibilidade simples baseada em destino final. Para defesa, isso desloca a análise para comportamento local, carregamento de bibliotecas, criação de objetos globais, acesso a bases de credenciais e padrões anômalos de rede associados ao uso de Tor em estáções de trabalho.

Fluxo técnico

A execução analisada começa com verificações de ambiente e preparação de identificadores locais. Assim como Kronos, Osiris usa o número de série do volume do sistema como entrada para geração de nomes, aplicando MD5 e recorrendo à string Kronos quando a obtenção do número de série falha. Esse padrão alimenta a criação de objetos globais no sistema operacional, incluindo mutex e evento com nomes previsíveis. Esses artefatos são úteis para evitar múltiplas instâncias, coordenar execução e oferecer pontos de caça defensiva em memória e em ferramentas EDR que exponham objetos globais do Windows.

O malware também herda técnicas de evasão. Kronos chamava APIs nativas diretamente a partir do próprio código, evitando o uso de ntdll.dll como intermediária em chamadas monitoradas. A lógica obtinha números de syscalls de ntdll.dll, identificava funções por hashes dos nomes e armazenava números usando uma constante XOR. Osiris compartilha a mesma família de checagens evasivas: procura processos e módulos carregados que indiquem debugger, máquina virtual ou sandbox. Quando esse tipo de ambiente é detectado, um sinal relacionado à arquitetura da máquina é alterado, levando a falha durante o carregamento das syscalls brutas. Esse comportamento pode funcionar como anti-análise e também como sinal de laboratório, porque crashes condicionais em ambientes instrumentados podem indicar evasão deliberada.

A persistência aparece de forma desigual entre as famílias. Kronos copiava a si mesmo para um caminho sob %APPDATA% com nome derivado dos primeiros caracteres do MD5 do serial do volume e registrava a execução automática em chaves Run de usuário, com tentativa também em escopo de máquina quando o processo tinha privilégios administrativos. Na amostra de Osiris descrita, os caminhos e nomes correspondentes eram construídos, mas a persistência não era efetivamente gravada. Essa diferença sugere implementação incompleta ou estágio de desenvolvimento, e impede tratar a persistência por chave Run como comportamento garantido em todas as amostras de Osiris.

A comunicação mantém semelhanças com o protocolo HTTP usado por Kronos, mas passa a usar Tor como camada de ocultação. Kronos podia baixar um arquivo de configuração com web-injects e enviava beacon contendo elementos como hash da configuração. Na amostra de Osiris, a funcionalidade de configuração não estava presente de forma equivalente e o beacon usava uma sequência de caracteres X quando carregado. Mesmo com essa lacuna, o desenho operacional continua sendo de bot bancário: o endpoint infectado coleta dados, empacota informações por janela ou navegador e tenta se comunicar com o servidor C&C por comandos similares aos da base Kronos, agora com redução de visibilidade do destino real.

Superfície afetada

A superfície principal é o endpoint Windows de usuário, especialmente estáções com navegadores e clientes de e-mail configurados. O malware busca dados do Chrome no banco SQLite Login Data, localizado no perfil padrão do usuário, e resolve funções da biblioteca sqlite3 para consultar o arquivo. Para Firefox, ele acessa profiles.ini, localiza o caminho do perfil e carrega nss3.dll a partir da instalação do navegador para descriptografar dados do usuário. Esse fluxo confirma que o impacto não se limita a sessões bancárias abertas: credenciais armazenadas e dados de autenticação preservados pelo navegador entram no escopo de risco.

Osiris também acessa áreas do Registro relacionadas a perfis de mensagens e Outlook. Foram descritas chaves sob HKEY_CURRENT_USER para o subsistema de mensagens do Windows, perfis do Outlook e perfis associados ao Microsoft Office 15.0. Esse comportamento aponta para interesse em dados de cliente de e-mail e material de conta local. Como o texto analisado não descreve exfiltração de caixas postais completas, a avaliação defensiva deve permanecer no que está confirmado: enumeração e coleta de valores de configuração e credenciais relacionadas a navegadores e clientes de e-mail.

As capacidades de VNC e keylogging ampliam a superfície além da coleta passiva. Osiris usa uma biblioteca LibVNCServer modificada para oferecer controle remoto do bot via protocolo RFB. Também contém uma thread de keylogger que é executada em processos onde a injeção de código ocorre, instalando hook de teclado com SetWindowsHookEx(). A rotina captura nome do processo, título da janela e conteúdo digitado nas janelas monitoradas, enviando esse material ao C&C. Em ambientes corporativos, isso coloca em risco sessões de navegador, portais internos, clientes de e-mail, consoles administrativos acessados pelo usuário e sistemas bancários usados no endpoint infectado.

Endpoints Windows com navegadores Chrome, Firefox, Internet Explorer, Microsoft Edge e dados de formulário acessíveis ao usuário infectado.
Perfis locais de e-mail e Outlook armazenados em chaves de Registro do usuário.
Processos nos quais o malware consiga injetar código para habilitar keylogging e captura de janelas.
Ambientes onde uso de Tor por estáções de trabalho não seja bloqueado, monitorado ou restrito por política.

Hunting e telemetria

A caça deve combinar artefatos locais, comportamento de coleta e rede. Objetos globais com nomes fixos derivados da análise de Osiris/Kronos são sinais diretos quando disponíveis em telemetria de endpoint. Também são relevantes leituras incomuns de Login Data do Chrome por processos que não sejam o próprio navegador, carregamento de nss3.dll fora do fluxo normal do Firefox, consultas a chaves de perfil do Outlook por binários desconhecidos e chamadas relacionadas a hook de teclado em processos que não tenham justificativa funcional para capturar entrada do usuário.

Em rede, a presença de Tor em estáções corporativas deve ser tratada como sinal de alta prioridade quando não houver caso de uso aprovado. O aspecto importante não é apenas o destino final, porque o desenho do malware oculta a comunicação direta com o C&C. A defesa deve correlacionar conexões TLS para relés Tor com eventos locais no mesmo intervalo de tempo: criação de objetos globais, acesso a bancos de credenciais, tentativas de injeção em processos e execução de binários em caminhos de perfil de usuário. Essa correlação reduz falsos positivos e evita depender exclusivamente de listas de nós Tor, que podem mudar rapidamente.

Também há sinais de anti-análise úteis para laboratórios e equipes de detecção. Crashes condicionados a presença de debugger, sandbox ou módulos de virtualização podem ser capturados durante detonação controlada. A tentativa de resolver syscalls por hashes, o uso de wrappers próprios e o desvio de chamadas usuais via ntdll.dll são padrões compatíveis com evasão contra monitoramento de API. Em EDR, esse tipo de telemetria pode aparecer como comportamento anômalo de processo desconhecido, especialmente quando combinado com leitura de Registro, acesso a bancos SQLite de navegador e criação de hooks de teclado.

Criação dos objetos Global\{AD3EBBCA-D942-886C-AD3E-CABB824AEA00} e Global\{2C240B38-28B0-DE58-2C24-380BA08C4000}.
Processos desconhecidos lendo Login Data do Chrome ou carregando nss3.dll sem relação legítima com o Firefox.
Acesso incomum a chaves de perfil do Outlook e do subsistema de mensagens do Windows sob o escopo do usuário.
Instalação de hooks de teclado, injeção em processos e atividade compatível com VNC/RFB em hosts de usuário.
Conexões TLS associadas a uso de Tor em endpoints que também apresentem sinais de coleta de credenciais.

Mitigação

A resposta deve começar pelo isolamento de endpoints com sinais consistentes de Osiris ou Kronos, porque as capacidades confirmadas incluem captura de credenciais, keylogging e controle remoto. Após isolamento, a equipe deve preservar imagem de memória, eventos de EDR, conexões recentes e artefatos de perfil de usuário antes de remover o binário. Como a persistência em Osiris foi descrita como possivelmente incompleta na amostra analisada, a ausência de chave Run não deve encerrar a investigação; é necessário verificar execução recente, diretórios de perfil, tarefas, objetos globais e qualquer binário com nome derivado de identificadores do volume.

A contenção precisa incluir credenciais. Dados armazenados em navegadores e clientes de e-mail podem ter sido acessados, e o keylogger pode ter capturado entradas em janelas sensíveis. A rotação deve priorizar contas usadas no host, credenciais de e-mail, bancos, VPN, portais internos e contas administrativas acessadas durante a janela de infecção. Tokens de sessão e cookies persistentes devem ser revogados quando houver suporte operacional. Para ambientes gerenciados, políticas que reduzem armazenamento de senhas no navegador, bloqueiam Tor não autorizado e limitam execução em caminhos de perfil do usuário reduzem a utilidade do malware.

A prevenção deve combinar controles de endpoint e rede. No endpoint, a defesa deve bloquear ou alertar para leitura indevida de bases de credenciais de navegador, carregamento anômalo de bibliotecas de descriptografia fora do processo esperado, injeção em processos e instalação de hooks globais de teclado. Na rede, o uso de Tor deve ser restrito por política, com exceções documentadas e monitoradas. Em resposta a incidentes, a validação final deve confirmar ausência dos objetos globais descritos, encerramento de processos suspeitos, remoção de persistências quando presentes, limpeza de binários em perfis de usuário e inexistência de novas conexões compatíveis com Tor ou RFB a partir do host.

Isolar endpoints com artefatos de Osiris/Kronos e preservar memória, eventos de EDR e conexões recentes antes da limpeza.
Rotacionar credenciais de contas usadas no host, incluindo e-mail, navegadores, VPN, bancos e acessos administrativos.
Bloquear Tor não autorizado em estáções corporativas e correlacionar exceções com telemetria de endpoint.
Criar detecções para acesso anômalo a bancos de credenciais de navegador, chaves de perfil do Outlook, hooks de teclado e injeção em processos.
Validar diretórios de perfil de usuário, chaves Run, objetos globais e sinais de VNC/RFB durante erradicação e pós-incidente.

Osiris amplia capacidades do trojan bancário Kronos com comunicação via Tor

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Osiris amplia capacidades do trojan bancário Kronos com comunicação via Tor

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato