Se ha descubierto la nueva versión del troyano bancario Kronos
Los investigadores descubrieron una nueva variante del troyano Kronos Banking en abril de 2018. Al principio, las muestras enviadas eran simplemente pruebas. Aunque, los expertos analizaron más de cerca una vez que las campañas de la vida real comenzaron a difundir el caballo de Troya por todo el mundo.
El virus Kronos se descubrió por primera vez en 2014 y no ha estado activo en los últimos años. Sin embargo, el renacimiento ha dado lugar a más de tres campañas distintas que se dirigen a usuarios de computadoras en Alemania, Japón y Polonia.[1]. Asimismo, existe un riesgo sustancial de que los atacantes pretendan hacer que la infección se propague por todo el mundo.
Según el análisis, la nueva característica más notable del troyano Kronos Banking es un servidor de comando y control (C&C) actualizado que está diseñado para funcionar junto con el navegador Tor.
[2]. Esta característica permite a los delincuentes permanecer en el anonimato durante los ataques.Las peculiaridades de las campañas de distribución de Kronos
Los investigadores de seguridad señalan que han realizado una introspección de cuatro campañas diferentes desde el 27 de junio que han llevado a la instalación del malware Kronos. La distribución del troyano bancario tenía sus propias peculiaridades que diferían en cada uno de los países objetivo, incluidos Alemania, Japón y Polonia.
Campaña dirigida a usuarios informáticos de habla alemana
Durante el período de tres días comprendido entre el 27 y el 30 de junio, los expertos descubrieron una campaña de malspam que se utilizó para propagar el virus Kronos. Los correos electrónicos maliciosos contenían las líneas de asunto "Actualización de nuestros términos y condiciones". o "Recordatorio: 9415166" y tenía como objetivo infectar las computadoras de los usuarios de 5 instituciones financieras alemanas[3].
Los siguientes archivos adjuntos maliciosos se agregaron a los correos electrónicos no deseados de Kronos:
- agb_9415166.doc
- Mahnung_9415167.doc
Atacantes utilizados hxxp: // jhrppbnh4d674kzh [.] cebolla / kpanel / connect.php URL como su servidor C&C. Los correos electrónicos no deseados contenían documentos de Word con macros maliciosas que, si estaban habilitadas, estaban programadas para eliminar el troyano bancario Kronos. Además, se detectaron cargadores de humo que inicialmente estaban diseñados para infiltrarse en el sistema con malware adicional.
Campaña dirigida a personas de Japón
Los ataques realizados entre el 15 y el 16 de julio tenían como objetivo afectar a los usuarios de computadoras en Japón. Esta vez, los delincuentes apuntaron a usuarios de 13 instituciones financieras japonesas diferentes con campañas de publicidad maliciosa. Las víctimas fueron enviadas al sitio sospechoso con códigos JavaScript maliciosos que redirigieron a los usuarios al kit de explotación Rig.[4].
Hackers empleados hxxp: // jmjp2l7yqgaj5xvv [.] cebolla / kpanel / connect.php como su C&C para la distribución de Kronos. Los investigadores describen las peculiaridades del ataque de la siguiente manera:
Este JavaScript redirigió a las víctimas al kit de explotación RIG, que distribuía el malware descargador SmokeLoader.
Campaña dirigida a usuarios ubicados en Polonia
El 15 de julio, los expertos en seguridad analizaron la tercera campaña de Kronos que también empleaba correos electrónicos no deseados maliciosos. Personas de Polonia recibieron correos electrónicos con facturas falsas nombradas como "Faktura 2018.07.16". El documento oculto contenía el exploit CVE-2017-11882 “Equation Editor” para infiltrarse en los sistemas con el virus Kronos.
Las víctimas fueron redirigidas a hxxp: // mysit [.] espacio / 123 // v / 0jLHzUW que fue diseñado para eliminar la carga útil del malware. La nota final de los expertos es que esta campaña utilizó hxxp: // suzfjfguuis326qw [.] cebolla / kpanel / connect.php como su C&C.
Kronos podría ser rebautizado como Osiris Trojan en 2018
Al introspectar los mercados clandestinos, los expertos detectaron que en el momento en que la edición de Kronos 2018 se descubrió, un hacker anónimo estaba promocionando un nuevo troyano bancario llamado Osiris en la piratería foros[5].
Existe cierta especulación y evidencia circunstancial que sugiere que esta nueva versión de Kronos ha sido rebautizada como "Osiris" y se está vendiendo en mercados clandestinos.
Aunque los investigadores no pueden confirmar este hecho, existen múltiples similitudes entre los virus:
- El tamaño del troyano Osiris se acerca al del malware Kronos (350 y 351 KB);
- Ambos usan el navegador Tor;
- La primera muestra del troyano Kronos se denominó os.exe, que podría referirse a Osiris.