Visszatérés: A Kronos Banking trójai újra megjelenik a kibertérben

Vegyes CikkekDec 20, 2021

Felfedezték a Kronos Banking trójai új verzióját

A Kronos banki trójai visszatéréseA kutatók egy új Kronos 2018-as kiadást fedeztek fel, amely 3 különböző kampányt alkalmaz, és Németországból, Japánból és Lengyelországból származó embereket céloz meg.

A kutatók 2018 áprilisában fedezték fel a Kronos Banking trójai új változatát. A benyújtott minták eleinte csak tesztek voltak. A szakértők azonban közelebbről is megvizsgálták, miután a valós kampányok elkezdték terjeszteni a trójai falót az egész világon.

A Kronos vírust először 2014-ben fedezték fel, és az elmúlt években nem volt aktív. Az újjászületés azonban több mint három különböző kampányt eredményezett, amelyek a németországi, japán és lengyelországi számítógépes felhasználókat célozzák.[1]. Hasonlóképpen nagy a kockázata annak, hogy a támadók célja a fertőzés világszerte való elterjedése.

Az elemzés szerint a Kronos Banking trójai legszembetűnőbb újdonsága egy frissített Command-and-Control (C&C) szerver, amelyet a Tor böngészővel való együttműködésre terveztek.[2]. Ez a funkció lehetővé teszi, hogy a bűnözők névtelenek maradjanak a támadások során.

A Kronos terjesztési kampányok sajátosságai

A biztonsági kutatók megjegyzik, hogy június 27. óta négy különböző kampányt vizsgáltak meg, amelyek Kronos kártevő telepítéséhez vezettek. A banki trójai elosztásának megvoltak a maga sajátosságai, amelyek az egyes célországokban, így Németországban, Japánban és Lengyelországban is eltérőek voltak.

Németül beszélő számítógép-felhasználókat célzó kampány

A június 27-től június 30-ig tartó háromnapos időszakban a szakértők egy malspam kampányt fedeztek fel, amelyet a Kronos vírus terjesztésére használtak. A rosszindulatú e-mailek tárgysorokat tartalmaztak „Frissítjük szerződési feltételeinket.” vagy „Emlékeztető: 9415166” és 5 német pénzintézet felhasználójának számítógépeinek megfertőzését célozta[3].

A következő rosszindulatú mellékleteket csatolták a Kronos spam e-mailekhez:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Támadókat használtak hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL, mint a C&C szerverük. A spam e-mailek Word dokumentumokat tartalmaztak, amelyek rosszindulatú makrókat tartalmaztak, amelyek engedélyezése esetén a Kronos banki trójai program eldobására voltak programozva. Emellett füstrakodókat is észleltek, amelyeket eredetileg úgy terveztek, hogy további rosszindulatú programokat hatoljanak be a rendszerbe.

A kampány Japánból származó embereket céloz meg

A július 15-16-án végrehajtott támadások Japánban a számítógép-felhasználókat akarták érinteni. Ezúttal 13 különböző japán pénzintézet felhasználóit vették célba a bűnözők rosszindulatú reklámkampányokkal. Az áldozatokat rosszindulatú JavaScript kódokkal küldték a gyanús webhelyre, amelyek átirányították a felhasználókat a Rig exploit kitre.[4].

Hackerek alkalmazottak hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php mint a C&C a Kronos disztribúcióhoz. A kutatók a következőképpen írják le a támadás sajátosságait:

Ez a JavaScript átirányította az áldozatokat a RIG exploit kithez, amely a SmokeLoader letöltő rosszindulatú programot terjesztette.

A kampány Lengyelországban tartózkodó felhasználókat céloz meg

Július 15-én biztonsági szakértők elemezték a harmadik Kronos kampányt, amely rosszindulatú spam e-maileket is alkalmazott. Lengyelországból e-maileket kaptak a következő néven hamis számlákkal „Faktura 2018.07.16.” Az elhomályosított dokumentum CVE-2017-11882 „Equation Editor” kizsákmányolást tartalmazott, amellyel Kronos vírust tudtak behatolni a rendszerekbe.

Az áldozatokat átirányították ide hxxp://mysit[.]space/123//v/0jLHzUW amelynek célja a kártevő rakományának eldobása volt. A szakértők utolsó megjegyzése, hogy ez a kampány használt hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php mint a C&C.

A Kronos 2018-ban Osiris Trojan névre cserélhető

A földalatti piacok bepillantása során a szakértők azt észlelték, hogy akkoriban, amikor a Kronos 2018. felfedezték, egy névtelen hacker egy új, Osiris nevű banki trójai programot hirdetett a hackelésen. fórumokon[5].

Vannak olyan spekulációk és közvetett bizonyítékok, amelyek arra utalnak, hogy a Kronos új verzióját átkeresztelték „Osiris”-re, és a földalatti piacokon értékesítik.

Bár a kutatók nem tudják megerősíteni ezt a tényt, több hasonlóság is van a vírusok között:

  • Az Osiris Trojan mérete közel áll a Kronos kártevőhöz (350 és 351 KB);
  • Mindkettő Tor böngészőt használ;
  • A Kronos trójai első példányát os.exe néven nevezték el, amely az Osirisra utalhat.