वापसी: क्रोनोस बैंकिंग ट्रोजन साइबरस्पेस में फिर से प्रकट होता है

click fraud protection

क्रोनोस बैंकिंग ट्रोजन का नया संस्करण खोजा गया है

क्रोनोस बैंकिंग ट्रोजन की वापसीशोधकर्ताओं ने एक नए क्रोनोस 2018 संस्करण का पता लगाया जो 3 अलग-अलग अभियानों को नियोजित करता है और जर्मनी, जापान और पोलैंड के लोगों को लक्षित करता है।

शोधकर्ताओं ने अप्रैल 2018 में क्रोनोस बैंकिंग ट्रोजन के एक नए संस्करण की खोज की है। सबसे पहले, प्रस्तुत नमूने केवल परीक्षण थे। हालांकि, जब वास्तविक जीवन के अभियानों ने ट्रोजन हॉर्स को दुनिया भर में फैलाना शुरू कर दिया, तो विशेषज्ञों ने इस पर बारीकी से विचार किया।

क्रोनोस वायरस पहली बार 2014 में खोजा गया था और हाल के वर्षों में सक्रिय नहीं हुआ है। हालांकि, पुनर्जन्म के परिणामस्वरूप तीन से अधिक अलग-अलग अभियान हुए हैं जो जर्मनी, जापान और पोलैंड में कंप्यूटर उपयोगकर्ताओं को लक्षित कर रहे हैं[1]. इसी तरह, एक बड़ा जोखिम है कि हमलावरों का लक्ष्य दुनिया भर में संक्रमण फैलाना है।

विश्लेषण के अनुसार, क्रोनोस बैंकिंग ट्रोजन की सबसे उल्लेखनीय नई विशेषता एक अद्यतन कमांड-एंड-कंट्रोल (सी एंड सी) सर्वर है जिसे टोर ब्राउज़र के साथ मिलकर काम करने के लिए डिज़ाइन किया गया है।[2]. यह सुविधा अपराधियों को हमलों के दौरान गुमनाम रहने की अनुमति देती है।

क्रोनोस वितरण अभियानों की विशेषताएं

सुरक्षा शोधकर्ताओं ने ध्यान दिया कि उन्होंने 27 जून से चार अलग-अलग अभियानों का आत्मनिरीक्षण किया है, जिसके कारण क्रोनोस मैलवेयर की स्थापना हुई है। बैंकिंग ट्रोजन के वितरण की अपनी विशिष्टताएँ थीं, जो जर्मनी, जापान और पोलैंड सहित प्रत्येक लक्षित देशों में भिन्न थीं।

जर्मन भाषी कंप्यूटर उपयोगकर्ताओं को लक्षित करने वाला अभियान

27 जून से 30 जून तक तीन दिवसीय अवधि के दौरान विशेषज्ञों ने एक मैलस्पैम अभियान की खोज की जिसका उपयोग क्रोनोस वायरस फैलाने के लिए किया गया था। दुर्भावनापूर्ण ईमेल में विषय पंक्तियाँ थीं "हमारे नियम और शर्तों को अपडेट करना।" या "अनुस्मारक: 9415166" और इसका उद्देश्य 5 जर्मन वित्तीय संस्थानों के उपयोगकर्ताओं के कंप्यूटरों को संक्रमित करना है[3].

क्रोनोस स्पैम ईमेल में निम्नलिखित दुर्भावनापूर्ण अनुलग्नक जोड़े गए थे:

  • agb_9415166.doc
  • महनुंग_9415167.doc

हमलावरों ने इस्तेमाल किया hxxp://jhrppbnh4d674kzh[.]प्याज/kpanel/connect.php URL उनके C&C सर्वर के रूप में। स्पैम ईमेल में वर्ड दस्तावेज़ होते हैं जो दुर्भावनापूर्ण मैक्रोज़ को सक्षम करते हैं जो क्रोनोस बैंकिंग ट्रोजन को छोड़ने के लिए प्रोग्राम किए गए थे। इसके अलावा, धूम्रपान-लोडर का पता चला था जो शुरू में अतिरिक्त मैलवेयर के साथ सिस्टम में घुसपैठ करने के लिए डिज़ाइन किए गए थे।

जापान के लोगों को लक्षित करने वाला अभियान

15-16 जुलाई को किए गए हमलों का उद्देश्य जापान में कंप्यूटर उपयोगकर्ताओं को प्रभावित करना था। इस बार, अपराधियों ने 13 विभिन्न जापानी वित्तीय संस्थानों के उपयोगकर्ताओं को मालवेयर अभियानों के साथ लक्षित किया। पीड़ितों को दुर्भावनापूर्ण जावास्क्रिप्ट कोड के साथ संदिग्ध साइट पर भेजा गया, जो उपयोगकर्ताओं को रिग शोषण किट पर पुनर्निर्देशित करता है[4].

हैकर कार्यरत hxxp://jmjp2l7yqgaj5xvv[.]प्याज/kpanel/connect.php क्रोनोस वितरण के लिए उनके सी एंड सी के रूप में। शोधकर्ताओं ने हमले की विशिष्टताओं का वर्णन इस प्रकार किया है:

इस जावास्क्रिप्ट ने पीड़ितों को आरआईजी शोषण किट पर पुनर्निर्देशित किया, जो स्मोकलोडर डाउनलोडर मैलवेयर वितरित कर रहा था।

पोलैंड में स्थित उपयोगकर्ताओं को लक्षित करने वाला अभियान

15 जुलाई को, सुरक्षा विशेषज्ञों ने तीसरे क्रोनोस अभियान का विश्लेषण किया जिसमें दुर्भावनापूर्ण स्पैम ईमेल भी शामिल थे। पोलैंड के लोगों को नाम के नकली इनवॉइस वाले ईमेल प्राप्त हुए "फकटुरा 2018.07.16।" अस्पष्ट दस्तावेज़ में CVE-2017-11882 "समीकरण संपादक" शामिल है जो क्रोनोस वायरस के साथ सिस्टम में घुसपैठ करने के लिए शोषण करता है।

पीड़ितों को पुनर्निर्देशित किया गया था hxxp://mysit[.]space/123//v/0jLHzUW जिसे मैलवेयर के पेलोड को कम करने के लिए डिज़ाइन किया गया था। विशेषज्ञों द्वारा अंतिम नोट यह है कि इस अभियान का उपयोग किया जाता है hxxp://suzfjfguuis326qw[.]प्याज/kpanel/connect.php इसके सी एंड सी के रूप में।

क्रोनोस को 2018 में ओसिरिस ट्रोजन के रूप में पुनः ब्रांडेड किया जा सकता है

भूमिगत बाजारों का आत्मनिरीक्षण करते हुए, विशेषज्ञों ने पाया कि उस समय जब क्रोनोस 2018 संस्करण पता चला, एक गुमनाम हैकर हैकिंग पर ओसिरिस नामक एक नए बैंकिंग ट्रोजन का प्रचार कर रहा था मंचों[5].

कुछ अटकलें और परिस्थितिजन्य साक्ष्य बताते हैं कि क्रोनोस के इस नए संस्करण को "ओसीरिस" नाम दिया गया है और इसे भूमिगत बाजारों में बेचा जा रहा है।

हालांकि शोधकर्ता इस तथ्य की पुष्टि नहीं कर सकते हैं, वायरस के बीच कई समानताएं हैं:

  • ओसिरिस ट्रोजन का आकार क्रोनोस मैलवेयर (350 और 351 KB) के करीब है;
  • दोनों टोर ब्राउज़र का उपयोग करते हैं;
  • क्रोनोस ट्रोजन के पहले नमूने को os.exe नाम दिया गया था जो ओसिरिस को संदर्भित कर सकता है।