العودة: ظهور طروادة Kronos Banking مرة أخرى في الفضاء الإلكتروني

تم اكتشاف الإصدار الجديد من حصان طروادة Kronos Banking

عودة حصان طروادة المصرفي كرونوس اكتشف الباحثون إصدارًا جديدًا من Kronos 2018 يستخدم 3 حملات متميزة ويستهدف أشخاصًا من ألمانيا واليابان وبولندا.

اكتشف الباحثون نوعًا جديدًا من Kronos Banking Trojan في أبريل 2018. في البداية ، كانت العينات المقدمة مجرد اختبارات. على الرغم من أن الخبراء ألقوا نظرة فاحصة بمجرد أن بدأت الحملات الواقعية في نشر حصان طروادة في جميع أنحاء العالم.

تم اكتشاف فيروس كرونوس لأول مرة في عام 2014 ولم يكن نشطًا في السنوات الأخيرة. ومع ذلك ، فقد نتج عن إعادة الميلاد أكثر من ثلاث حملات متميزة تستهدف مستخدمي الكمبيوتر في ألمانيا واليابان وبولندا^[1]. وبالمثل ، هناك خطر كبير من أن المهاجمين يهدفون إلى انتشار العدوى في جميع أنحاء العالم.

وفقًا للتحليل ، فإن الميزة الجديدة الأكثر بروزًا في Kronos Banking trojan هي خادم القيادة والتحكم (C&C) المحدث والذي تم تصميمه للعمل مع متصفح Tor^[2]. تسمح هذه الميزة للمجرمين بالبقاء مجهولين أثناء الهجمات.

خصوصيات حملات توزيع كرونوس

لاحظ باحثو الأمن أنهم قاموا باستبطان أربع حملات مختلفة منذ 27 يونيو والتي أدت إلى تثبيت برنامج Kronos الضار. كان لتوزيع حصان طروادة المصرفي خصائصه الخاصة التي تختلف في كل بلد من البلدان المستهدفة ، بما في ذلك ألمانيا واليابان وبولندا.

حملة تستهدف مستخدمي الكمبيوتر الناطقين باللغة الألمانية

خلال فترة الثلاثة أيام من 27 يونيو إلى 30 يونيو اكتشف الخبراء حملة malspam التي استخدمت لنشر فيروس كرونوس. احتوت رسائل البريد الإلكتروني الضارة على سطور الموضوع "تحديث الشروط والأحكام الخاصة بنا." أو "تذكير: 9415166" ويهدف إلى إصابة أجهزة كمبيوتر 5 مستخدمين لمؤسسات مالية ألمانية^[3].

تم إلحاق المرفقات الضارة التالية في رسائل البريد الإلكتروني العشوائية الخاصة بـ Kronos:

agb_9415166.doc
Mahnung_9415167.doc

استخدم المهاجمون hxxp: // jhrppbnh4d674kzh [.] onion / kpanel / connect.php URL كخادم C&C الخاص بهم. احتوت رسائل البريد الإلكتروني العشوائية على مستندات Word والتي تم برمجتها لوحدات الماكرو الخبيثة إذا تم تمكينها لإسقاط Kronos Banking Trojan. أيضًا ، تم اكتشاف محمل دخان تم تصميمه في البداية لاختراق النظام ببرامج ضارة إضافية.

حملة تستهدف أشخاص من اليابان

كانت الهجمات التي تم إجراؤها يومي 15 و 16 يوليو / تموز تهدف إلى التأثير على مستخدمي الكمبيوتر في اليابان. هذه المرة ، استهدف المجرمون مستخدمي 13 مؤسسة مالية يابانية مختلفة بحملات دعاية خاطئة. تم إرسال الضحايا إلى الموقع المشبوه بأكواد JavaScript ضارة أعادت توجيه المستخدمين إلى مجموعة أدوات استغلال Rig^[4].

قراصنة يعملون hxxp: // jmjp2l7yqgaj5xvv [.] onion / kpanel / connect.php مثل C & C لتوزيع Kronos. وصف الباحثون خصوصيات الهجوم على النحو التالي:

أعاد JavaScript توجيه الضحايا إلى مجموعة أدوات استغلال RIG ، التي كانت توزع البرامج الضارة لتنزيل SmokeLoader.

حملة تستهدف المستخدمين الموجودين في بولندا

في 15 يوليو ، حلل خبراء أمنيون حملة كرونوس الثالثة التي استخدمت رسائل بريد إلكتروني ضارة أيضًا. تلقى أشخاص من بولندا رسائل بريد إلكتروني تحتوي على فواتير مزيفة باسم "فكتورة 2018.07.16." تحتوي الوثيقة المبهمة على استغلال CVE-2017-11882 "محرر المعادلات" للتسلل إلى الأنظمة باستخدام فيروس Kronos.

تم إعادة توجيه الضحايا إلى hxxp: // mysit [.] space / 123 // v / 0jLHzUW الذي تم تصميمه لإسقاط حمولة البرامج الضارة. الملاحظة الأخيرة من قبل الخبراء هي أن هذه الحملة استخدمت hxxp: // suzfjfguuis326qw [.] onion / kpanel / connect.php مثل C & C.

قد يتم تغيير اسم Kronos إلى Osiris Trojan في عام 2018

أثناء استكشاف الأسواق السرية ، اكتشف الخبراء ذلك في وقت إصدار Kronos 2018 تم اكتشافه ، كان متسلل مجهول يروّج لحصان طروادة مصرفي جديد يُدعى أوزوريس على القرصنة المنتديات^[5].

هناك بعض التكهنات والأدلة الظرفية التي تشير إلى أن هذه النسخة الجديدة من كرونوس قد أعيد تسميتها باسم "أوزوريس" وتباع في الأسواق السرية.

على الرغم من عدم تمكن الباحثين من تأكيد هذه الحقيقة ، إلا أن هناك أوجه تشابه متعددة بين الفيروسات:

حجم Osiris Trojan قريب من Kronos الضارة (350 و 351 كيلوبايت) ؛
كلاهما يستخدم متصفح Tor ؛
تم تسمية العينة الأولى من Kronos trojan باسم os.exe والتي قد تشير إلى أوزوريس.