Comeback: Kronos Bankingin troijalainen ilmestyy uudelleen kyberavaruuteen

SekalaistaDec 20, 2021
click fraud protection

Kronos Bankingin troijalaisen uusi versio on löydetty

Kronos-pankkitroijalaisen paluuTutkijat havaitsivat uuden Kronos 2018 -version, joka työllistää kolmea erillistä kampanjaa ja on suunnattu ihmisille Saksasta, Japanista ja Puolasta.

Tutkijat ovat löytäneet uuden version Kronos Bankingin troijalaisesta huhtikuussa 2018. Aluksi toimitetut näytteet olivat vain testejä. Asiantuntijat kuitenkin katsoivat asiaa tarkemmin, kun tosielämän kampanjat ovat alkaneet levittää Troijan hevosta ympäri maailmaa.

Kronos-virus löydettiin ensimmäisen kerran vuonna 2014, eikä se ole ollut aktiivinen viime vuosina. Uudelleensyntyminen on kuitenkin johtanut yli kolmeen erilliseen kampanjaan, jotka on suunnattu tietokoneen käyttäjille Saksassa, Japanissa ja Puolassa.[1]. Samoin on olemassa suuri riski, että hyökkääjät pyrkivät levittämään tartuntaa maailmanlaajuisesti.

Analyysin mukaan Kronos Bankingin troijalaisen huomattavin uusi ominaisuus on päivitetty Command-and-Control (C&C) -palvelin, joka on suunniteltu toimimaan yhdessä Tor-selaimen kanssa.

[2]. Tämän ominaisuuden ansiosta rikolliset voivat pysyä nimettöminä hyökkäysten aikana.

Kronoksen jakelukampanjoiden erityispiirteet

Tietoturvatutkijat huomauttavat, että he ovat tutkineet neljää erilaista kampanjaa kesäkuun 27. jälkeen, jotka ovat johtaneet Kronos-haittaohjelman asennukseen. Pankkitroijalaisen jakelussa oli omat erityispiirteensä, jotka vaihtelivat kussakin kohdemaassa, mukaan lukien Saksassa, Japanissa ja Puolassa.

Saksankielisille tietokoneen käyttäjille suunnattu kampanja

Kolmen päivän aikana 27.–30. kesäkuuta asiantuntijat löysivät roskapostikampanjan, jota käytettiin Kronos-viruksen levittämiseen. Haitalliset sähköpostit sisälsivät aiherivit "Päivitetään käyttöehtojamme." tai "Muistutus: 9415166" ja sen tarkoituksena oli saastuttaa viiden saksalaisen rahoituslaitoksen käyttäjän tietokoneet[3].

Seuraavat haitalliset liitteet on liitetty Kronos-roskapostiviesteihin:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Hyökkääjiä käytetty hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL niiden C&C-palvelimena. Roskapostisähköpostit sisälsivät Word-asiakirjoja ja haitallisia makroja, jotka, jos ne olivat käytössä, ohjelmoitiin pudottamaan Kronos-pankkitroijalainen. Lisäksi havaittiin savukuormaajia, jotka on alun perin suunniteltu soluttautumaan järjestelmään lisähaittaohjelmilla.

Kampanja on kohdistettu ihmisiin Japanista

15.–16. heinäkuuta tehtyjen hyökkäysten tarkoituksena oli vaikuttaa Japanin tietokoneen käyttäjiin. Tällä kertaa rikolliset kohdistuivat haitallisilla kampanjoilla 13 eri japanilaisen rahoituslaitoksen käyttäjiin. Uhrit lähetettiin epäilyttävälle sivustolle haitallisilla JavaScript-koodeilla, jotka ohjasivat käyttäjät Rig Exploit Kitiin.[4].

Hakkerit palkattu hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php C&C: nä Kronos-jakelulle. Tutkijat kuvaavat hyökkäyksen erityispiirteitä seuraavasti:

Tämä JavaScript ohjasi uhrit RIG-käyttöpakkaukseen, joka jakeli SmokeLoader-latausohjelmaa.

Kampanja on kohdistettu Puolassa oleville käyttäjille

Tietoturvaasiantuntijat analysoivat 15. heinäkuuta kolmannen Kronos-kampanjan, jossa käytettiin myös haitallisia roskapostiviestejä. Puolalaiset saivat sähköposteja, joissa oli väärennettyjä laskuja nimeltä "Faktura 2018.07.16." Hämärtynyt asiakirja sisälsi CVE-2017-11882 "Equation Editor" -hyödynnyksen Kronos-viruksen soluttauttamiseksi järjestelmiin.

Uhrit ohjattiin uudelleen hxxp://mysit[.]space/123//v/0jLHzUW jonka tarkoituksena oli pudottaa haittaohjelmien hyötykuorma. Asiantuntijoiden viimeinen huomautus on, että tämä kampanja käytti hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php sen C&C: nä.

Kronos saatetaan nimetä uudelleen Osiris-troijalaiseksi vuonna 2018

Tutkiessaan maanalaisia ​​markkinoita asiantuntijat havaitsivat, että silloin, kun Kronos 2018 painos havaittiin, anonyymi hakkeri mainosti uutta Osiris-nimistä pankkitroijalaista hakkeroinnissa foorumeilla[5].

On olemassa spekulaatioita ja aihetodisteita, jotka viittaavat siihen, että tämä Kronoksen uusi versio on nimetty uudelleen "Osirisiksi" ja sitä myydään maanalaisilla markkinoilla.

Vaikka tutkijat eivät voi vahvistaa tätä tosiasiaa, virusten välillä on useita yhtäläisyyksiä:

  • Osiris Troijan koko on lähellä Kronos-haittaohjelmaa (350 ja 351 kt);
  • Molemmat käyttävät Tor-selainta;
  • Ensimmäinen Kronos-troijalainen näyte nimettiin nimellä os.exe, joka saattaa viitata Osirikseen.