蟄伏几年後，Kronos銀行木馬以Osiris的形式在7月再現江湖。此次軟體的創新表明其作者著眼於惡意軟體前景廣闊的發展趨勢，並對銀行木馬演變歷程進行了大量分析。

Osiris 首次出現在針對德國、日本和波蘭的三個不同的活動中。很明顯，它的形成基於Kronos惡意軟體，Kronos 2014年浮出水面之後，帶來多個季度的金融等多個領域的違法事件（它本身就是臭名昭著的zeus銀行程式碼的後代）。

雖然新生的銀行木馬錶現出的行為與許多其他流行的銀行惡意軟體相似（例如，它實施了Zeus風格的G / P / L網路注入，鍵盤記錄器和VNC伺服器），也有顯著差異。

首先，它使用加密的Tor通訊來執行命令和控制(C2)。惡意負載產生了多個名為tor的程序，它可以連線到位於不同國家的多個不同的主機(Tor節點)。同時，Osiris也提升了規避技術。正如研究者Kolesnikov接受媒體採訪時所解釋，“Osiris引人關注的新奇之處在於它相當創新的合法過程模擬技術。這種規避技術結合在最近開窗的流程模擬方法及更傳統的流程中空技術。這可能使純粹使用端點工具檢測銀行木馬的活動比能夠檢視端點以外其他實體行為的工具更具挑戰性（例如網路和使用者資訊）”。

攻擊模式

迄今為止，Osiris 的主要滲透載體是垃圾郵件。這些檔案包含精心製作的Microsoft Word文件/RTF附件，帶有巨集/OLE內容，導致惡意混淆的VB階段被刪除和執行。分析顯示，在很多情況下，惡意軟體都是通過像RIG EK這樣的攻擊工具來傳播。惡意文件利用了Microsoft Office公式編輯器元件（CVE-2017-11882）中眾所周知的緩衝區溢位漏洞，該漏洞允許攻擊者執行任意程式碼執行。

Kolesnikov對此解釋:“漏洞存在於等式編輯器元件中，當使用該元件時，它將作為自己的程序執行(eqnedt32.exe)。”因為實現方式的特殊性，它不支援資料執行預防(DEP)和地址空間佈局隨機化(ASLR)。惡意文件就能利用此漏洞執行命令以下載最新版本的[Osiris]

與其他銀行木馬程式一樣，Osiris的主要目標是竊取個人憑證和其他敏感資料，如網上銀行賬戶等。收集的主要方法是通過瀏覽器攻擊，將惡意指令碼注入銀行網站，並獲取表單值。

一個徹底現代化的惡意軟體

儘管它的基礎是流行多年的舊原始碼，Osiris的基本構造仍將其位於惡意軟體趨勢的前沿。

“基於我們在野外看到的銀行攻擊，當前趨勢近似聚合木馬程式惡意特性。例如，不少流行銀行木馬的基本特性集相同，例如表單抓取、沙箱和AV旁路、web注入、密碼恢復、鍵盤記錄和遠端訪問。”

最新版本的Osiris符合惡意軟體採用更高程度的模組化架構趨勢，使得惡意行為者能夠提供更新和外掛，以實現初始感染後的各種惡意行為。這與越來越多的惡意軟體原型開發的快速趨勢和‘研究——惡意軟體’時代的縮短相吻合，惡意威脅行為者可以在安全社群中實施最新的攻擊和規避技術。

不幸的是，Osiris未來可能更加普及，因為它在暗網上的定價降低了攻擊者的參與門檻。與Kronos相比，Osiris相對便宜。Kronos在2014年的售價為3000美元，而Osiris在2018年的售價為2000美元，這可能會讓更多網路罪犯更容易接觸到它。Osiris的作者們還提供了以1000美元（Kronos沒有）的價格轉售許可的選擇，這可能會進一步增加惡意威脅的規模和影響。