Retour: le cheval de Troie Kronos Banking réapparaît dans le cyberespace

DiversDec 20, 2021

La nouvelle version du cheval de Troie Kronos Banking a été découverte

Le retour du cheval de Troie bancaire KronosLes chercheurs ont détecté une nouvelle édition de Kronos 2018 qui emploie 3 campagnes distinctes et cible des personnes d'Allemagne, du Japon et de Pologne.

Des chercheurs ont découvert une nouvelle variante du cheval de Troie Kronos Banking en avril 2018. Au début, les échantillons soumis n'étaient que des tests. Cependant, les experts ont examiné de plus près une fois que des campagnes réelles ont commencé à propager le cheval de Troie à travers le monde.

Le virus Kronos a été découvert pour la première fois en 2014 et n'a pas été actif ces dernières années. Cependant, la renaissance a donné lieu à plus de trois campagnes distinctes qui ciblent les utilisateurs d'ordinateurs en Allemagne, au Japon et en Pologne.[1]. De même, il existe un risque important que les attaquants visent à propager l'infection dans le monde entier.

Selon l'analyse, la nouvelle fonctionnalité la plus notable du cheval de Troie Kronos Banking est un serveur de commande et de contrôle (C&C) mis à jour conçu pour fonctionner avec le navigateur Tor.

[2]. Cette fonctionnalité permet aux criminels de rester anonymes pendant les attaques.

Les particularités des campagnes de distribution Kronos

Les chercheurs en sécurité notent qu'ils ont introspecté quatre campagnes différentes depuis le 27 juin qui ont conduit à l'installation du malware Kronos. La distribution du cheval de Troie bancaire avait ses propres particularités, différentes dans chacun des pays ciblés, notamment l'Allemagne, le Japon et la Pologne.

Campagne ciblant les utilisateurs d'ordinateurs germanophones

Au cours de la période de trois jours du 27 au 30 juin, des experts ont découvert une campagne de spam qui a été utilisée pour propager le virus Kronos. Les e-mails malveillants contenaient les lignes d'objet « Mise à jour de nos conditions générales. » ou « Rappel: 9415166 » et visait à infecter les ordinateurs de 5 utilisateurs d'institutions financières allemandes[3].

Les pièces jointes malveillantes suivantes ont été ajoutées aux courriers indésirables de Kronos :

  • agb_9415166.doc
  • Mahnung_9415167.doc

Les attaquants ont utilisé hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL en tant que serveur C&C. Les courriers indésirables contenaient des documents Word contenant des macros malveillantes qui, si elles étaient activées, étaient programmées pour supprimer le cheval de Troie bancaire Kronos. En outre, des chargeurs de fumée ont été détectés, initialement conçus pour infiltrer le système avec des logiciels malveillants supplémentaires.

Campagne ciblant les Japonais

Les attaques menées les 15 et 16 juillet visaient à affecter les utilisateurs d'ordinateurs au Japon. Cette fois, les criminels ont ciblé les utilisateurs de 13 institutions financières japonaises différentes avec des campagnes de publicité malveillante. Les victimes ont été envoyées vers le site suspect avec des codes JavaScript malveillants qui ont redirigé les utilisateurs vers le kit d'exploitation Rig[4].

Les pirates employés hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php comme leur C&C pour la distribution Kronos. Les chercheurs décrivent les particularités de l'attaque comme suit :

Ce JavaScript a redirigé les victimes vers le kit d'exploitation RIG, qui distribuait le logiciel malveillant de téléchargement SmokeLoader.

Campagne ciblant les utilisateurs situés en Pologne

Le 15 juillet, des experts en sécurité ont analysé la troisième campagne de Kronos qui utilisait également des spams malveillants. Des Polonais ont reçu des e-mails contenant de fausses factures nommées "Faktura 2018.07.16." Le document obscurci contenait l'exploit CVE-2017-11882 « Equation Editor » pour infiltrer les systèmes avec le virus Kronos.

Les victimes ont été redirigées vers hxxp://mysit[.]space/123//v/0jLHzUW qui a été conçu pour supprimer la charge utile du malware. La note finale des experts est que cette campagne a utilisé hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php comme son C&C.

Kronos pourrait être rebaptisé Osiris Trojan en 2018

En introspectant les marchés souterrains, les experts ont détecté qu'au moment où l'édition 2018 de Kronos a été découvert, un pirate informatique anonyme faisait la promotion d'un nouveau cheval de Troie bancaire nommé Osiris sur le piratage forum[5].

Il existe des spéculations et des preuves circonstancielles suggérant que cette nouvelle version de Kronos a été rebaptisée «Osiris» et est vendue sur les marchés souterrains.

Même si les chercheurs ne peuvent pas confirmer ce fait, il existe de multiples similitudes entre les virus :

  • La taille du cheval de Troie Osiris est proche du malware Kronos (350 et 351 Ko) ;
  • Les deux utilisent le navigateur Tor ;
  • Le premier échantillon du cheval de Troie Kronos a été nommé os.exe, ce qui pourrait faire référence à Osiris.