Comeback: Kronos Banking-Trojaner taucht wieder im Cyberspace auf

Die neue Version des Kronos Banking-Trojaners wurde entdeckt

Das Comeback des Banking-Trojaners KronosForscher haben eine neue Ausgabe von Kronos 2018 entdeckt, die drei unterschiedliche Kampagnen umfasst und auf Menschen aus Deutschland, Japan und Polen abzielt.

Forscher haben im April 2018 eine neue Variante des Trojaners Kronos Banking entdeckt. Bei den eingereichten Mustern handelte es sich zunächst nur um Tests. Experten haben jedoch genauer hingeschaut, als reale Kampagnen begonnen haben, das Trojanische Pferd auf der ganzen Welt zu verbreiten.

Das Kronos-Virus wurde erstmals 2014 entdeckt und war in den letzten Jahren nicht mehr aktiv. Die Wiedergeburt hat jedoch zu mehr als drei unterschiedlichen Kampagnen geführt, die sich an Computernutzer in Deutschland, Japan und Polen richten[1]. Ebenso besteht ein erhebliches Risiko, dass die Angreifer darauf abzielen, die Infektion weltweit zu verbreiten.

Laut der Analyse ist das auffälligste neue Feature des Kronos Banking-Trojaners ein aktualisierter Command-and-Control (C&C)-Server, der für die Zusammenarbeit mit dem Tor-Browser entwickelt wurde

[2]. Diese Funktion ermöglicht es den Kriminellen, während der Angriffe anonym zu bleiben.

Die Besonderheiten der Kronos-Verteilungskampagnen

Sicherheitsforscher stellen fest, dass sie seit dem 27. Juni vier verschiedene Kampagnen untersucht haben, die zur Installation der Kronos-Malware geführt haben. Die Verbreitung des Banking-Trojaners wies in jedem der Zielländer, darunter Deutschland, Japan und Polen, eigene Besonderheiten auf.

Kampagne für deutschsprachige Computernutzer

Während des dreitägigen Zeitraums vom 27. bis 30. Juni entdeckten Experten eine Malspam-Kampagne, mit der das Kronos-Virus verbreitet wurde. Schädliche E-Mails enthielten die Betreffzeilen „Aktualisieren unserer Allgemeinen Geschäftsbedingungen.“ oder „Erinnerung: 9415166“ und zielte darauf ab, Computer von 5 Benutzern deutscher Finanzinstitute zu infizieren[3].

Die folgenden bösartigen Anhänge wurden in Kronos-Spam-E-Mails angehängt:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Angreifer eingesetzt hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL als ihren C&C-Server. Spam-E-Mails enthielten Word-Dokumente mit bösartigen Makros, die, falls aktiviert, so programmiert wurden, dass sie den Banking-Trojaner Kronos ablegen. Außerdem wurden Smoke-Loader entdeckt, die ursprünglich dazu gedacht waren, das System mit zusätzlicher Schadsoftware zu infiltrieren.

Kampagne mit Ausrichtung auf Japaner

Angriffe vom 15.-16. Juli zielten darauf ab, Computerbenutzer in Japan zu treffen. Dieses Mal zielten die Kriminellen mit Malvertising-Kampagnen auf Benutzer von 13 verschiedenen japanischen Finanzinstituten. Die Opfer wurden mit bösartigen JavaScript-Codes auf die verdächtige Site geschickt, die Benutzer zum Rig-Exploit-Kit umleiteten[4].

Hacker beschäftigt hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php als C&C für den Kronos-Vertrieb. Forscher beschreiben die Besonderheiten des Angriffs wie folgt:

Dieses JavaScript leitete die Opfer zum RIG-Exploit-Kit um, das die Downloader-Malware SmokeLoader verbreitete.

Kampagne mit Ausrichtung auf Nutzer in Polen

Am 15. Juli analysierten Sicherheitsexperten die dritte Kronos-Kampagne, bei der auch bösartige Spam-E-Mails verwendet wurden. Menschen aus Polen erhielten E-Mails mit gefälschten Rechnungen namens “Faktura 2018.07.16.” Das verschleierte Dokument enthielt den CVE-2017-11882 "Equation Editor" Exploit, um die Systeme mit dem Kronos-Virus zu infiltrieren.

Opfer wurden umgeleitet zu hxxp://mysit[.]space/123//v/0jLHzUW die entwickelt wurde, um die Nutzlast der Malware zu verwerfen. Die letzte Anmerkung von Experten ist, dass diese Kampagne verwendet wurde hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php als C&C.

Kronos könnte 2018 in Osiris Trojan umbenannt werden

Bei der Erkundung der unterirdischen Märkte stellten Experten fest, dass die Ausgabe von Kronos 2018 entdeckt wurde, warb ein anonymer Hacker beim Hacken für einen neuen Banking-Trojaner namens Osiris Foren[5].

Es gibt einige Spekulationen und Indizien, die darauf hindeuten, dass diese neue Version von Kronos in "Osiris" umbenannt wurde und auf unterirdischen Märkten verkauft wird.

Auch wenn Forscher diese Tatsache nicht bestätigen können, gibt es mehrere Ähnlichkeiten zwischen den Viren:

  • Die Größe des Osiris-Trojaners kommt der Kronos-Malware nahe (350 und 351 KB);
  • Beide verwenden den Tor-Browser;
  • Das erste Beispiel des Kronos-Trojaners hieß os.exe, was sich auf Osiris beziehen könnte.