Byla objevena nová verze trojského koně Kronos Banking
Výzkumníci objevili novou variantu Kronos Banking trojan v dubnu 2018. Předložené vzorky byly zprvu pouze testy. Odborníci se však na to blíže podívali, jakmile skutečné kampaně začaly šířit trojského koně po celém světě.
Virus Kronos byl poprvé objeven v roce 2014 a v posledních letech nebyl aktivní. Znovuzrození však vyústilo ve více než tři různé kampaně, které se zaměřují na uživatele počítačů v Německu, Japonsku a Polsku.[1]. Stejně tak existuje značné riziko, že se útočníci snaží o to, aby se infekce rozšířila po celém světě.
Podle analýzy je nejviditelnější novou funkcí trojan Kronos Banking aktualizovaný server Command-and-Control (C&C), který je navržen tak, aby spolupracoval s prohlížečem Tor.[2]. Tato funkce umožňuje zločincům zůstat během útoků v anonymitě.
Zvláštnosti distribučních kampaní Kronos
Bezpečnostní výzkumníci poznamenávají, že od 27. června zkoumali čtyři různé kampaně, které vedly k instalaci malwaru Kronos. Distribuce bankovního trojského koně měla své zvláštnosti, které se lišily v každé z cílových zemí, včetně Německa, Japonska a Polska.
Kampaň cílená na německy mluvící uživatele počítačů
Během třídenního období od 27. června do 30. června odborníci objevili malspamovou kampaň, která byla použita k šíření viru Kronos. Předměty obsahovaly škodlivé e-maily "Aktualizujeme naše smluvní podmínky." nebo "Připomenutí: 9415166" a jeho cílem bylo infikovat počítače uživatelů 5 německých finančních institucí[3].
Ke spamovým e-mailům Kronos byly připojeny následující škodlivé přílohy:
- agb_9415166.doc
- Mahnung_9415167.doc
Využití útočníci hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL jako jejich C&C server. Spamové e-maily obsahovaly dokumenty aplikace Word, jejichž škodlivá makra, pokud byla povolena, byla naprogramována tak, aby zahodila trojského koně Kronos Banking. Byly také zjištěny kouřové nakladače, které byly původně navrženy tak, aby infiltrovaly systém dalším malwarem.
Kampaň cílená na lidi z Japonska
Útoky provedené ve dnech 15. až 16. července měly za cíl zasáhnout uživatele počítačů v Japonsku. Tentokrát se zločinci zaměřovali na uživatele 13 různých japonských finančních institucí pomocí malverzních kampaní. Na podezřelou stránku byly odeslány oběti se škodlivými kódy JavaScript, které uživatele přesměrovávaly na Rig exploit kit[4].
Zaměstnáni hackeři hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php jako jejich C&C pro distribuci Kronos. Vědci popisují zvláštnosti útoku takto:
Tento JavaScript přesměroval oběti na exploit kit RIG, který distribuoval malware pro stahování SmokeLoader.
Kampaň cílící na uživatele v Polsku
15. července bezpečnostní experti analyzovali třetí kampaň Kronos, která také používala škodlivé spamové e-maily. Lidé z Polska dostávali e-maily s falešnými fakturami pojmenovanými jako "Faktura 2018.07.16." Zmatený dokument obsahoval zneužití CVE-2017-11882 „Equation Editor“ k infiltraci systémů virem Kronos.
Oběti byly přesměrovány na hxxp://mysit[.]space/123//v/0jLHzUW který byl navržen tak, aby snížil užitečné zatížení malwaru. Závěrečná poznámka odborníků je, že tato kampaň byla použita hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php jako její C&C.
Kronos by mohl být v roce 2018 přejmenován na Osiris Trojan
Při introspekci podzemních trhů to odborníci zjistili v době vydání Kronos 2018 Když bylo objeveno, anonymní hacker propagoval nového bankovního trojského koně jménem Osiris na hackování fórech[5].
Existují určité spekulace a nepřímé důkazy naznačující, že tato nová verze Kronos byla přejmenována na „Osiris“ a prodává se na podzemních trzích.
I když vědci nemohou potvrdit tuto skutečnost, mezi viry existuje mnoho podobností:
- Velikost trojského koně Osiris se blíží malwaru Kronos (350 a 351 kB);
- Oba používají prohlížeč Tor;
- První vzorek trojského koně Kronos byl pojmenován jako os.exe, což by mohlo odkazovat na Osiris.