这只新发现的僵尸网络程序Kraken与2018年发现的同名勒索软件是两个不同的程序。安全厂商ZeroFox指出,Kraken的早期版本于2021年10月上传到GitHub,属于Golang项目。但是暂时还不清楚这个GitHub项目是由恶意组织创建的,还是黑客利用GitHub项目撰写的Kraken。
虽然Kraken背后的目的尚不明确,但研究人员指出,它的功能正在不断增强。目前,Kraken已具备渗透潜伏、搜集主机资料、下载和执行恶意文件、执行shell指令、获取网络截图、窃取加密货币钱包等多种功能。
当前的Kraken版本通过后门程序SmokeLoader将RARSFX文件下载到WindowsPC,并解封包进行安装。利用SmokeLoader后门进行传播,使得攻击者在切换到新的C&C服务器时能够快速感染数百台计算机。
安装Kraken时,它会采用两种方法维持在PC中。首先,通过执行Powershell指令告诉Microsoft Defender跳过Kraken安装目录,其次,执行attrib隐藏指令,使其复制的.EXE文件无法通过文件管理器显示。此外,它还会添加新的机器码,以便在用户每次登录WindowsPC时执行一次。
从去年10月到12月,Kraken的主要行动是传播窃密工具,尤其是RedLineStealer,用于将PC的信息回传给外部C&C服务器。上周,HP安全研究人员发现另一波攻击通过伪装成Windows更新程序,诱使用户安装RealLine窃密程序。在这轮攻击中,Kraken收集的信息包括主机和用户名称、Windows版本、CPU和GPU信息等等,外部黑客还可以通过C&C指令获取截图。
ZeroFox还观察到一些受害者计算机上安装了其他窃密程序和挖矿软件。目前,Kraken每月的收入已经达到3,000美元。
研究人员建议用户将杀毒和入侵检测软件更新到最新版本,启动双重验证以减少钓鱼和账号填充(credential stuffing)攻击,并避免打开来路不明的邮件附件或链接。
