Επιστροφή: Το Kronos Banking trojan επανεμφανίζεται στον κυβερνοχώρο

Ανακαλύφθηκε η νέα έκδοση του Kronos Banking trojan

Η επιστροφή του Kronos banking trojanΟι ερευνητές εντόπισαν μια νέα έκδοση του Kronos 2018 που χρησιμοποιεί 3 διαφορετικές καμπάνιες και στοχεύει άτομα από τη Γερμανία, την Ιαπωνία και την Πολωνία.

Οι ερευνητές ανακάλυψαν μια νέα παραλλαγή του Kronos Banking trojan τον Απρίλιο του 2018. Αρχικά, τα υποβληθέντα δείγματα ήταν απλώς τεστ. Αν και, οι ειδικοί έριξαν μια πιο προσεκτική ματιά όταν οι πραγματικές εκστρατείες άρχισαν να διαδίδουν τον δούρειο ίππο σε όλο τον κόσμο.

Ο ιός Κρόνος ανακαλύφθηκε για πρώτη φορά το 2014 και δεν είναι ενεργός τα τελευταία χρόνια. Ωστόσο, η αναγέννηση είχε ως αποτέλεσμα περισσότερες από τρεις ξεχωριστές καμπάνιες που στοχεύουν χρήστες υπολογιστών στη Γερμανία, την Ιαπωνία και την Πολωνία[1]. Ομοίως, υπάρχει σημαντικός κίνδυνος οι επιτιθέμενοι να στοχεύουν να κάνουν τη μόλυνση να εξαπλωθεί σε όλο τον κόσμο.

Σύμφωνα με την ανάλυση, το πιο αξιοσημείωτο νέο χαρακτηριστικό του Kronos Banking trojan είναι ένας ενημερωμένος διακομιστής Command-and-Control (C&C) που έχει σχεδιαστεί για να λειτουργεί μαζί με το πρόγραμμα περιήγησης Tor

[2]. Αυτή η δυνατότητα επιτρέπει στους εγκληματίες να παραμένουν ανώνυμοι κατά τη διάρκεια των επιθέσεων.

Οι ιδιαιτερότητες των εκστρατειών διανομής του Kronos

Οι ερευνητές ασφαλείας σημειώνουν ότι έχουν εξετάσει τέσσερις διαφορετικές καμπάνιες από τις 27 Ιουνίου, οι οποίες οδήγησαν στην εγκατάσταση του κακόβουλου λογισμικού Kronos. Η κατανομή του τραπεζικού Trojan είχε τις δικές της ιδιαιτερότητες που διαφέρουν σε καθεμία από τις στοχευόμενες χώρες, συμπεριλαμβανομένης της Γερμανίας, της Ιαπωνίας και της Πολωνίας.

Καμπάνια που στοχεύει γερμανόφωνους χρήστες υπολογιστών

Κατά τη διάρκεια του τριήμερου από τις 27 Ιουνίου έως τις 30 Ιουνίου, οι ειδικοί ανακάλυψαν μια καμπάνια malspam που χρησιμοποιήθηκε για τη διάδοση του ιού Kronos. Τα κακόβουλα email περιείχαν τις γραμμές θέματος "Ενημέρωση των όρων και προϋποθέσεων μας." ή “Υπενθύμιση: 9415166” και είχε στόχο να μολύνει υπολογιστές χρηστών 5 γερμανικών χρηματοπιστωτικών ιδρυμάτων[3].

Τα ακόλουθα κακόβουλα συνημμένα προστέθηκαν στα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου της Kronos:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Οι επιτιθέμενοι χρησιμοποίησαν hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL ως διακομιστή C&C τους. Τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν έγγραφα του Word, τα οποία κακόβουλες μακροεντολές, οι οποίες, εάν ενεργοποιηθούν, προγραμματίζονταν να αποβάλλουν το Kronos banking Trojan. Επίσης, εντοπίστηκαν συσκευές φόρτωσης καπνού που αρχικά είχαν σχεδιαστεί για να διεισδύουν στο σύστημα με πρόσθετο κακόβουλο λογισμικό.

Καμπάνια που στοχεύει άτομα από την Ιαπωνία

Οι επιθέσεις που πραγματοποιήθηκαν στις 15-16 Ιουλίου είχαν στόχο να επηρεάσουν τους χρήστες υπολογιστών στην Ιαπωνία. Αυτή τη φορά, οι εγκληματίες στόχευσαν χρήστες 13 διαφορετικών ιαπωνικών χρηματοπιστωτικών ιδρυμάτων με καμπάνιες κακόβουλης διαφήμισης. Τα θύματα στάλθηκαν στον ύποπτο ιστότοπο με κακόβουλους κωδικούς JavaScript που ανακατευθύνουν τους χρήστες στο κιτ εκμετάλλευσης Rig[4].

Απασχολούνται χάκερ hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php ως C&C για τη διανομή Kronos. Οι ερευνητές περιγράφουν τις ιδιαιτερότητες της επίθεσης ως εξής:

Αυτή η JavaScript ανακατεύθυνε τα θύματα στο κιτ εκμετάλλευσης RIG, το οποίο διένειμε το κακόβουλο λογισμικό λήψης SmokeLoader.

Καμπάνια που στοχεύει χρήστες που βρίσκονται στην Πολωνία

Στις 15 Ιουλίου, ειδικοί σε θέματα ασφάλειας ανέλυσαν την τρίτη καμπάνια της Kronos, η οποία χρησιμοποίησε επίσης κακόβουλα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Άτομα από την Πολωνία έλαβαν email με πλαστά τιμολόγια που ονομάζονταν ως "Faktura 2018.07.16." Το συγκεχυμένο έγγραφο περιείχε εκμετάλλευση CVE-2017-11882 "Equation Editor" για διείσδυση στα συστήματα με τον ιό Kronos.

Τα θύματα ανακατευθύνθηκαν σε hxxp://mysit[.]space/123//v/0jLHzUW που σχεδιάστηκε για να ρίξει το ωφέλιμο φορτίο του κακόβουλου λογισμικού. Η τελευταία σημείωση από τους ειδικούς είναι ότι αυτή η εκστρατεία χρησιμοποιείται hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php ως C&C του.

Το Kronos μπορεί να μετονομαστεί ως Osiris Trojan το 2018

Κατά την ενδοσκόπηση των υπόγειων αγορών, οι ειδικοί εντόπισαν ότι την εποχή που η έκδοση Kronos 2018 ανακαλύφθηκε, ένας ανώνυμος χάκερ προωθούσε ένα νέο τραπεζικό Trojan με το όνομα Osiris στο χακάρισμα φόρουμ[5].

Υπάρχουν κάποιες εικασίες και περιστασιακά στοιχεία που υποδηλώνουν ότι αυτή η νέα έκδοση του Kronos έχει μετονομαστεί σε «Osiris» και πωλείται σε υπόγειες αγορές.

Παρόλο που οι ερευνητές δεν μπορούν να επιβεβαιώσουν αυτό το γεγονός, υπάρχουν πολλές ομοιότητες μεταξύ των ιών:

  • Το μέγεθος του Osiris Trojan είναι κοντά στο κακόβουλο λογισμικό Kronos (350 και 351 KB).
  • Και οι δύο χρησιμοποιούν το πρόγραμμα περιήγησης Tor.
  • Το πρώτο δείγμα του Kronos trojan ονομάστηκε os.exe που μπορεί να αναφέρεται στον Όσιρι.