क्रोनोस बैंकिंग ट्रोजन का नया संस्करण खोजा गया है
शोधकर्ताओं ने अप्रैल 2018 में क्रोनोस बैंकिंग ट्रोजन के एक नए संस्करण की खोज की है। सबसे पहले, प्रस्तुत नमूने केवल परीक्षण थे। हालांकि, जब वास्तविक जीवन के अभियानों ने ट्रोजन हॉर्स को दुनिया भर में फैलाना शुरू कर दिया, तो विशेषज्ञों ने इस पर बारीकी से विचार किया।
क्रोनोस वायरस पहली बार 2014 में खोजा गया था और हाल के वर्षों में सक्रिय नहीं हुआ है। हालांकि, पुनर्जन्म के परिणामस्वरूप तीन से अधिक अलग-अलग अभियान हुए हैं जो जर्मनी, जापान और पोलैंड में कंप्यूटर उपयोगकर्ताओं को लक्षित कर रहे हैं[1]. इसी तरह, एक बड़ा जोखिम है कि हमलावरों का लक्ष्य दुनिया भर में संक्रमण फैलाना है।
विश्लेषण के अनुसार, क्रोनोस बैंकिंग ट्रोजन की सबसे उल्लेखनीय नई विशेषता एक अद्यतन कमांड-एंड-कंट्रोल (सी एंड सी) सर्वर है जिसे टोर ब्राउज़र के साथ मिलकर काम करने के लिए डिज़ाइन किया गया है।[2]. यह सुविधा अपराधियों को हमलों के दौरान गुमनाम रहने की अनुमति देती है।
क्रोनोस वितरण अभियानों की विशेषताएं
सुरक्षा शोधकर्ताओं ने ध्यान दिया कि उन्होंने 27 जून से चार अलग-अलग अभियानों का आत्मनिरीक्षण किया है, जिसके कारण क्रोनोस मैलवेयर की स्थापना हुई है। बैंकिंग ट्रोजन के वितरण की अपनी विशिष्टताएँ थीं, जो जर्मनी, जापान और पोलैंड सहित प्रत्येक लक्षित देशों में भिन्न थीं।
जर्मन भाषी कंप्यूटर उपयोगकर्ताओं को लक्षित करने वाला अभियान
27 जून से 30 जून तक तीन दिवसीय अवधि के दौरान विशेषज्ञों ने एक मैलस्पैम अभियान की खोज की जिसका उपयोग क्रोनोस वायरस फैलाने के लिए किया गया था। दुर्भावनापूर्ण ईमेल में विषय पंक्तियाँ थीं "हमारे नियम और शर्तों को अपडेट करना।" या "अनुस्मारक: 9415166" और इसका उद्देश्य 5 जर्मन वित्तीय संस्थानों के उपयोगकर्ताओं के कंप्यूटरों को संक्रमित करना है[3].
क्रोनोस स्पैम ईमेल में निम्नलिखित दुर्भावनापूर्ण अनुलग्नक जोड़े गए थे:
- agb_9415166.doc
- महनुंग_9415167.doc
हमलावरों ने इस्तेमाल किया hxxp://jhrppbnh4d674kzh[.]प्याज/kpanel/connect.php URL उनके C&C सर्वर के रूप में। स्पैम ईमेल में वर्ड दस्तावेज़ होते हैं जो दुर्भावनापूर्ण मैक्रोज़ को सक्षम करते हैं जो क्रोनोस बैंकिंग ट्रोजन को छोड़ने के लिए प्रोग्राम किए गए थे। इसके अलावा, धूम्रपान-लोडर का पता चला था जो शुरू में अतिरिक्त मैलवेयर के साथ सिस्टम में घुसपैठ करने के लिए डिज़ाइन किए गए थे।
जापान के लोगों को लक्षित करने वाला अभियान
15-16 जुलाई को किए गए हमलों का उद्देश्य जापान में कंप्यूटर उपयोगकर्ताओं को प्रभावित करना था। इस बार, अपराधियों ने 13 विभिन्न जापानी वित्तीय संस्थानों के उपयोगकर्ताओं को मालवेयर अभियानों के साथ लक्षित किया। पीड़ितों को दुर्भावनापूर्ण जावास्क्रिप्ट कोड के साथ संदिग्ध साइट पर भेजा गया, जो उपयोगकर्ताओं को रिग शोषण किट पर पुनर्निर्देशित करता है[4].
हैकर कार्यरत hxxp://jmjp2l7yqgaj5xvv[.]प्याज/kpanel/connect.php क्रोनोस वितरण के लिए उनके सी एंड सी के रूप में। शोधकर्ताओं ने हमले की विशिष्टताओं का वर्णन इस प्रकार किया है:
इस जावास्क्रिप्ट ने पीड़ितों को आरआईजी शोषण किट पर पुनर्निर्देशित किया, जो स्मोकलोडर डाउनलोडर मैलवेयर वितरित कर रहा था।
पोलैंड में स्थित उपयोगकर्ताओं को लक्षित करने वाला अभियान
15 जुलाई को, सुरक्षा विशेषज्ञों ने तीसरे क्रोनोस अभियान का विश्लेषण किया जिसमें दुर्भावनापूर्ण स्पैम ईमेल भी शामिल थे। पोलैंड के लोगों को नाम के नकली इनवॉइस वाले ईमेल प्राप्त हुए "फकटुरा 2018.07.16।" अस्पष्ट दस्तावेज़ में CVE-2017-11882 "समीकरण संपादक" शामिल है जो क्रोनोस वायरस के साथ सिस्टम में घुसपैठ करने के लिए शोषण करता है।
पीड़ितों को पुनर्निर्देशित किया गया था hxxp://mysit[.]space/123//v/0jLHzUW जिसे मैलवेयर के पेलोड को कम करने के लिए डिज़ाइन किया गया था। विशेषज्ञों द्वारा अंतिम नोट यह है कि इस अभियान का उपयोग किया जाता है hxxp://suzfjfguuis326qw[.]प्याज/kpanel/connect.php इसके सी एंड सी के रूप में।
क्रोनोस को 2018 में ओसिरिस ट्रोजन के रूप में पुनः ब्रांडेड किया जा सकता है
भूमिगत बाजारों का आत्मनिरीक्षण करते हुए, विशेषज्ञों ने पाया कि उस समय जब क्रोनोस 2018 संस्करण पता चला, एक गुमनाम हैकर हैकिंग पर ओसिरिस नामक एक नए बैंकिंग ट्रोजन का प्रचार कर रहा था मंचों[5].
कुछ अटकलें और परिस्थितिजन्य साक्ष्य बताते हैं कि क्रोनोस के इस नए संस्करण को "ओसीरिस" नाम दिया गया है और इसे भूमिगत बाजारों में बेचा जा रहा है।
हालांकि शोधकर्ता इस तथ्य की पुष्टि नहीं कर सकते हैं, वायरस के बीच कई समानताएं हैं:
- ओसिरिस ट्रोजन का आकार क्रोनोस मैलवेयर (350 और 351 KB) के करीब है;
- दोनों टोर ब्राउज़र का उपयोग करते हैं;
- क्रोनोस ट्रोजन के पहले नमूने को os.exe नाम दिया गया था जो ओसिरिस को संदर्भित कर सकता है।