Kronos Bankingu trooja uus versioon on avastatud
Teadlased avastasid 2018. aasta aprillis Kronos Bankingu trooja uue variandi. Esialgu olid esitatud proovid vaid testid. Kuigi eksperdid vaatasid seda lähemalt, kui päriselu kampaaniad on hakanud Trooja hobust üle maailma levitama.
Kronose viirus avastati esmakordselt 2014. aastal ja pole viimastel aastatel aktiivne olnud. Taassünd on aga toonud kaasa rohkem kui kolm erinevat kampaaniat, mis on suunatud arvutikasutajatele Saksamaal, Jaapanis ja Poolas.[1]. Samuti on suur oht, et ründajate eesmärk on panna nakkus levima kogu maailmas.
Analüüsi kohaselt on Kronos Banking trooja kõige märgatavam uus funktsioon uuendatud Command-and-Control (C&C) server, mis on loodud töötama koos Tor brauseriga.[2]. See funktsioon võimaldab kurjategijatel rünnakute ajal anonüümseks jääda.
Kronose levitamiskampaaniate iseärasused
Turvateadlased märgivad, et nad on alates 27. juunist uurinud nelja erinevat kampaaniat, mis on viinud Kronose pahavara installimiseni. Pangandustroojalase levitamisel olid oma eripärad, mis erinesid igas sihtriigis, sealhulgas Saksamaal, Jaapanis ja Poolas.
Saksa keelt kõnelevatele arvutikasutajatele suunatud kampaania
Kolmepäevase perioodi jooksul 27. juunist 30. juunini avastasid eksperdid rämpspostikampaania, mida kasutati Kronose viiruse levitamiseks. Pahatahtlikud meilid sisaldasid teemaridu "Meie tingimuste värskendamine." või "Meeldetuletus: 9415166" ning selle eesmärk oli nakatada viie Saksamaa finantsasutuse kasutaja arvutid[3].
Kronose rämpspostikirjadele lisati järgmised pahatahtlikud manused:
- agb_9415166.doc
- Mahnung_9415167.doc
Ründajad kasutatud hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL nende C&C-serverina. Rämpsposti kirjad sisaldasid Wordi dokumente ja pahatahtlikke makrosid, mis lubamise korral programmeeriti Kronose panganduse troojalasest loobuma. Samuti tuvastati suitsulaadurid, mis on algselt mõeldud täiendava pahavara süsteemi imbumiseks.
Kampaania, mis sihib inimesi Jaapanist
15.–16. juulil toimunud rünnakute eesmärk oli mõjutada arvutikasutajaid Jaapanis. Seekord võtsid kurjategijad pahatahtlike kampaaniatega sihikule 13 erineva Jaapani finantsasutuse kasutajaid. Ohvrid saadeti kahtlasele saidile pahatahtlike JavaScripti koodidega, mis suunasid kasutajad Rig exploit kit'i.[4].
Häkkerid tööle hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php kui nende C&C Kronose levitamiseks. Teadlased kirjeldavad rünnaku iseärasusi järgmiselt:
See JavaScript suunas ohvrid RIG-i ärakasutamiskomplekti, mis levitas SmokeLoaderi allalaadimisprogrammi pahavara.
Kampaania sihib Poolas asuvaid kasutajaid
15. juulil analüüsisid turvaeksperdid kolmandat Kronose kampaaniat, milles kasutati ka pahatahtlikke rämpsposti. Poolast pärit inimesed said e-kirju võltsarvetega nimega kui "Faktura 2018.07.16." Hägustatud dokument sisaldas CVE-2017-11882 "võrrandi redaktori" ärakasutamist Kronose viirusega süsteemidesse imbumiseks.
Ohvrid suunati ümber hxxp://mysit[.]space/123//v/0jLHzUW mis oli mõeldud pahavara kasuliku koormuse vähendamiseks. Ekspertide viimane märkus on, et seda kampaaniat kasutati hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php kui selle C&C.
Kronos võidakse 2018. aastal ümber nimetada Osiris Troojaks
Maa-aluseid turge uurides avastasid eksperdid, et ajal, mil Kronos 2018. avastati, reklaamis anonüümne häkker häkkimisel uut pangandustroojat nimega Osiris foorumid[5].
On mõningaid spekulatsioone ja kaudseid tõendeid, mis viitavad sellele, et see Kronose uus versioon on saanud nime "Osiris" ja seda müüakse maa-alustel turgudel.
Kuigi teadlased ei saa seda fakti kinnitada, on viirustel mitmeid sarnasusi:
- Osirise troojalase suurus on ligilähedane Kronose pahavarale (350 ja 351 KB);
- Mõlemad kasutavad Tor-brauserit;
- Kronose trooja esimene näidis sai nimeks os.exe, mis võib viidata Osirisele.