Den nye version af Kronos Banking trojan er blevet opdaget
Forskere har opdaget en ny variant af Kronos Banking-trojan i april 2018. Først var de indsendte prøver blot tests. Selvom eksperter kiggede nærmere på, når virkelige kampagner er begyndt at sprede den trojanske hest over hele verden.
Kronos-virus blev først opdaget i 2014 og har ikke været aktiv i de seneste år. Genfødslen har dog resulteret i mere end tre forskellige kampagner, som er rettet mod computerbrugere i Tyskland, Japan og Polen[1]. Ligeledes er der en væsentlig risiko for, at angriberne sigter mod at få infektionen til at sprede sig verden over.
Ifølge analysen er den mest bemærkelsesværdige nye funktion ved Kronos Banking trojan en opdateret Command-and-Control (C&C) server, som er designet til at fungere sammen med Tor-browseren[2]. Denne funktion giver de kriminelle mulighed for at forblive anonyme under angrebene.
Det særlige ved Kronos distributionskampagner
Sikkerhedsforskere bemærker, at de har introspekteret fire forskellige kampagner siden 27. juni, som har ført til installationen af Kronos malware. Fordelingen af banktrojanen havde sine egne særegenheder, der adskilte sig i hvert af de målrettede lande, herunder Tyskland, Japan og Polen.
Kampagne rettet mod tysktalende computerbrugere
I løbet af tre-dages perioden fra 27. juni til 30. juni opdagede eksperter en malspam-kampagne, som blev brugt til at sprede Kronos-virus. Ondsindede e-mails indeholdt emnelinjerne "Opdatering af vores vilkår og betingelser." eller "Påmindelse: 9415166" og havde til formål at inficere computere hos 5 tyske pengeinstitutters brugere[3].
Følgende ondsindede vedhæftede filer blev tilføjet i Kronos spam-e-mails:
- agb_9415166.doc
- Mahnung_9415167.doc
Angribere brugt hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL som deres C&C-server. Spam-e-mails indeholdt Word-dokumenter med ondsindede makroer, der, hvis de var aktiveret, var programmeret til at droppe Kronos banktrojaner. Der blev også opdaget røglæssere, som oprindeligt er designet til at infiltrere systemet med yderligere malware.
Kampagne målrettet folk fra Japan
Angreb udført den 15.-16. juli havde til formål at påvirke computerbrugere i Japan. Denne gang målrettede de kriminelle brugere af 13 forskellige japanske finansielle institutioner med malvertising-kampagner. Ofre blev sendt til det mistænkelige websted med ondsindede JavaScript-koder, som omdirigerede brugere til Rig exploit kit[4].
Hackere ansat hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php som deres C&C for Kronos distribution. Forskere beskriver angrebets ejendommeligheder som følger:
Dette JavaScript omdirigerede ofrene til RIG-udnyttelsessættet, som distribuerede SmokeLoader-downloader-malwaren.
Kampagne målrettet mod brugere i Polen
Den 15. juli analyserede sikkerhedseksperter den tredje Kronos-kampagne, som også brugte ondsindede spam-e-mails. Folk fra Polen modtog e-mails med falske fakturaer navngivet som "Faktura 2018.07.16." Det slørede dokument indeholdt CVE-2017-11882 "Equation Editor"-udnyttelse til at infiltrere systemerne med Kronos-virus.
Ofrene blev omdirigeret til hxxp://mysit[.]space/123//v/0jLHzUW som var designet til at slippe nyttelasten af malware. Den sidste bemærkning fra eksperter er, at denne kampagne bruges hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php som dets C&C.
Kronos kan blive omdøbt til Osiris Trojan i 2018
Mens de introspekterede de underjordiske markeder, opdagede eksperter det på det tidspunkt, hvor Kronos 2018-udgaven blev opdaget, promoverede en anonym hacker en ny banktrojaner ved navn Osiris på hackingen fora[5].
Der er nogle spekulationer og indicier, der tyder på, at denne nye version af Kronos er blevet omdøbt til "Osiris" og sælges på undergrundsmarkeder.
Selvom forskerne ikke kan bekræfte dette faktum, er der flere ligheder mellem vira:
- Størrelsen på Osiris Trojan er tæt på Kronos malware (350 og 351 KB);
- Begge bruger Tor browser;
- Den første prøve af Kronos-trojaner blev navngivet som os.exe, hvilket kan referere til Osiris.