Открита е новата версия на банковия троян Kronos
Изследователите откриха ново издание на Kronos 2018, което използва 3 различни кампании и е насочено към хора от Германия, Япония и Полша.
Изследователите откриха нов вариант на троянски коне Kronos Banking през април 2018 г. Първоначално представените проби бяха само тестове. Въпреки това, експертите разгледаха по-отблизо, след като кампаниите в реалния живот започнаха да разпространяват троянския кон по целия свят.
Вирусът Kronos е открит за първи път през 2014 г. и не е бил активен през последните години. Прераждането обаче доведе до повече от три различни кампании, насочени към компютърни потребители в Германия, Япония и Полша[1]. По същия начин съществува значителен риск нападателите да целят да накарат инфекцията да се разпространи по целия свят.
Според анализа, най-забележимата нова функция на троянския конец Kronos Banking е актуализираният сървър за командване и управление (C&C), който е проектиран да работи заедно с браузъра Tor[2]. Тази функция позволява на престъпниците да останат анонимни по време на атаките.
Особености на кампаниите за разпространение на Kronos
Изследователите по сигурността отбелязват, че са интроспектирали четири различни кампании от 27 юни, които са довели до инсталирането на зловреден софтуер на Kronos. Разпространението на банковия троянец имаше своите особености, различни във всяка от целевите страни, включително Германия, Япония и Полша.
Кампания, насочена към немскоговорящи компютърни потребители
През тридневния период от 27 до 30 юни експерти откриха малспам кампания, използвана за разпространение на вируса Kronos. Злонамерените имейли съдържаха темите „Актуализиране на нашите условия.“ или „Напомняне: 9415166“ и има за цел да зарази компютрите на 5 потребители на германски финансови институции[3].
Следните злонамерени прикачени файлове бяха добавени към спам имейлите на Kronos:
- agb_9415166.doc
- Mahnung_9415167.doc
Използвани нападатели hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL като техен C&C сървър. Спам имейлите съдържаха документи на Word, които злонамерени макроси, които ако бяха активирани, бяха програмирани да изхвърлят банковия троянски кон на Kronos. Освен това бяха открити устройства за зареждане на дим, които първоначално са предназначени да проникнат в системата с допълнителен зловреден софтуер.
Кампания, насочена към хора от Япония
Атаките, извършени на 15-16 юли, имаха за цел да засегнат компютърните потребители в Япония. Този път престъпниците се насочиха към потребители на 13 различни японски финансови институции с кампании за злоупотреба. Жертвите бяха изпратени до подозрителния сайт със злонамерени JavaScript кодове, които пренасочваха потребителите към комплекта за експлоатиране на Rig[4].
Наети хакери hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php като тяхното C&C за разпространение на Kronos. Изследователите описват особеностите на атаката по следния начин:
Този JavaScript пренасочва жертвите към комплекта за експлоатиране на RIG, който разпространяваше злонамерения софтуер за изтегляне на SmokeLoader.
Кампания, насочена към потребители, намиращи се в Полша
На 15 юли експерти по сигурността анализираха третата кампания на Kronos, която използваше и злонамерени спам имейли. Хората от Полша получиха имейли с фалшиви фактури, наречени като “Фактура 2018.07.16.” Обфусцираният документ съдържа експлоат CVE-2017-11882 „Редактор на уравнения“ за проникване в системите с вируса Kronos.
Жертвите бяха пренасочени към hxxp://mysit[.]space/123//v/0jLHzUW който е проектиран да изхвърли полезния товар на зловредния софтуер. Последната забележка на експертите е, че тази кампания е използвана hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php като негов C&C.
Kronos може да бъде ребрандиран като Osiris Trojan през 2018 г
Докато интроспектираха подземните пазари, експертите откриха, че по времето, когато изданието Kronos 2018 г. беше открит, анонимен хакер промотира нов банков троянец на име Озирис при хакването форуми[5].
Има някои спекулации и косвени доказателства, които предполагат, че тази нова версия на Kronos е преименувана на „Озирис“ и се продава на подземните пазари.
Въпреки че изследователите не могат да потвърдят този факт, има множество прилики между вирусите:
- Размерът на Osiris Trojan е близо до злонамерения софтуер на Kronos (350 и 351 KB);
- И двете използват браузър Tor;
- Първата проба на троянски кон на Kronos беше наречена os.exe, което може да се отнася до Озирис.