Otkrivena je nova verzija Kronos bankovnog trojanca
Istraživači su otkrili novu varijantu Kronos bankovnog trojanca u travnju 2018. Isprva su dostavljeni uzorci bili samo testovi. Iako su stručnjaci pobliže pogledali kada su kampanje iz stvarnog života počele širiti trojanskog konja po cijelom svijetu.
Kronos virus je prvi put otkriven 2014. godine, a posljednjih godina nije bio aktivan. Međutim, ponovno rođenje rezultiralo je s više od tri različite kampanje koje ciljaju na korisnike računala u Njemačkoj, Japanu i Poljskoj[1]. Isto tako, postoji znatan rizik da napadači imaju za cilj proširiti zarazu diljem svijeta.
Prema analizi, najuočljivija nova značajka Kronos Banking trojanca je ažurirani Command-and-Control (C&C) poslužitelj koji je dizajniran za rad zajedno s Tor preglednikom[2]. Ova značajka omogućuje kriminalcima da ostanu anonimni tijekom napada.
Osobitosti Kronos distribucijskih kampanja
Istraživači sigurnosti primjećuju da su od 27. lipnja introspekirali četiri različite kampanje koje su dovele do instaliranja zlonamjernog softvera Kronos. Distribucija bankovnog trojanca imala je svoje posebnosti koje su se razlikovale u svakoj od ciljanih zemalja, uključujući Njemačku, Japan i Poljsku.
Kampanja koja cilja korisnike računala koji govore njemački
Tijekom trodnevnog razdoblja od 27. do 30. lipnja stručnjaci su otkrili malspam kampanju koja je korištena za širenje virusa Kronos. Zlonamjerne poruke e-pošte sadržavale su naslove "Ažuriranje naših uvjeta i odredbi." ili “Podsjetnik: 9415166” a imao je za cilj zaraziti računala 5 korisnika njemačkih financijskih institucija[3].
Sljedeći zlonamjerni privici dodani su u Kronos neželjenu e-poštu:
- agb_9415166.doc
- Mahnung_9415167.doc
Iskorišteni napadači hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL kao njihov C&C poslužitelj. Neželjena e-pošta sadržavala je Word dokumente koji su zlonamjerne makronaredbe koje su bile programirane da ispuste Kronos bankovni trojanac. Također, otkriveni su dimnjaci koji su inicijalno dizajnirani da infiltriraju sustav dodatnim zlonamjernim softverom.
Kampanja koja cilja ljude iz Japana
Napadi izvedeni 15.-16. srpnja imali su za cilj utjecati na korisnike računala u Japanu. Ovaj put, kriminalci su zlonamjernim kampanjama ciljali korisnike 13 različitih japanskih financijskih institucija. Žrtve su poslane na sumnjivu stranicu sa zlonamjernim JavaScript kodovima koji su korisnike preusmjeravali na Rig exploit kit[4].
Zaposleni hakeri hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php kao njihov C&C za Kronos distribuciju. Istraživači opisuju osobitosti napada na sljedeći način:
Ovaj JavaScript je preusmjerio žrtve na RIG exploit kit, koji je distribuirao zlonamjerni softver za preuzimanje SmokeLoader.
Kampanja koja cilja korisnike koji se nalaze u Poljskoj
15. srpnja stručnjaci za sigurnost analizirali su treću Kronos kampanju koja je također koristila zlonamjerne neželjene e-poruke. Ljudi iz Poljske primali su e-mailove s lažnim fakturama pod nazivom “Faktura 2018.07.16.” Zamućeni dokument sadržavao je CVE-2017-11882 eksploataciju "Uređivača jednadžbi" za infiltriranje u sustave virusom Kronos.
Žrtve su preusmjerene na hxxp://mysit[.]space/123//v/0jLHzUW koji je dizajniran da ispusti teret zlonamjernog softvera. Konačna napomena stručnjaka je da je ova kampanja korištena hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php kao njegov C&C.
Kronos bi mogao biti preimenovan u Osiris Trojan 2018
Proučavajući podzemna tržišta, stručnjaci su to otkrili u vrijeme kada je Kronos 2018. je otkriven, anonimni haker promovirao je novog bankovnog trojanca po imenu Osiris u hakiranju forumima[5].
Postoje neka nagađanja i posredni dokazi koji upućuju na to da je ova nova verzija Kronosa preimenovana u "Oziris" i da se prodaje na podzemnim tržištima.
Iako istraživači ne mogu potvrditi ovu činjenicu, postoji više sličnosti između virusa:
- Veličina Trojanca Osiris bliska je zlonamjernom softveru Kronos (350 i 351 KB);
- Oba koriste preglednik Tor;
- Prvi uzorak Kronos trojana nazvan je os.exe što bi se moglo odnositi na Ozirisa.