Kembali: Trojan Perbankan Kronos muncul kembali di dunia maya

Versi baru trojan Perbankan Kronos telah ditemukan

Kembalinya trojan perbankan KronosPara peneliti mendeteksi edisi baru Kronos 2018 yang menggunakan 3 kampanye berbeda dan menargetkan orang-orang dari Jerman, Jepang, dan Polandia.

Peneliti telah menemukan varian baru trojan Kronos Banking pada April 2018. Pada awalnya, sampel yang diajukan hanyalah tes. Meskipun, para ahli melihat lebih dekat begitu kampanye kehidupan nyata mulai menyebarkan kuda Troya ke seluruh dunia.

Virus Kronos pertama kali ditemukan pada tahun 2014 dan tidak aktif dalam beberapa tahun terakhir. Namun, kelahiran kembali telah menghasilkan lebih dari tiga kampanye berbeda yang menargetkan pengguna komputer di Jerman, Jepang, dan Polandia[1]. Demikian juga, ada risiko besar bahwa penyerang bertujuan untuk membuat infeksi menyebar ke seluruh dunia.

Menurut analisis, fitur baru yang paling mencolok dari trojan Perbankan Kronos adalah server Command-and-Control (C&C) yang diperbarui yang dirancang untuk bekerja sama dengan browser Tor[2]. Fitur ini memungkinkan para penjahat untuk tetap anonim selama serangan.

Keunikan kampanye distribusi Kronos

Peneliti keamanan mencatat bahwa mereka telah mengintrospeksi empat kampanye berbeda sejak 27 Juni yang mengarah pada pemasangan malware Kronos. Distribusi Trojan perbankan memiliki kekhasan tersendiri yang berbeda-beda di masing-masing negara sasaran, antara lain Jerman, Jepang, dan Polandia.

Kampanye yang menargetkan pengguna komputer berbahasa Jerman

Selama periode tiga hari dari 27 Juni hingga 30 Juni para ahli menemukan kampanye malspam yang digunakan untuk menyebarkan virus Kronos. Email berbahaya berisi baris subjek “Memperbarui syarat dan ketentuan kami.” atau “Pengingat: 9415166” dan bertujuan untuk menginfeksi komputer dari 5 pengguna lembaga keuangan Jerman[3].

Lampiran berbahaya berikut telah ditambahkan dalam email spam Kronos:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Penyerang digunakan hxxp://jhrppbnh4d674kzh[.]bawang/kpanel/connect.php URL sebagai server C&C mereka. Email spam berisi dokumen Word yang berisi makro berbahaya yang jika diaktifkan diprogram untuk menjatuhkan Trojan perbankan Kronos. Juga, ada pemuat asap yang terdeteksi yang awalnya dirancang untuk menyusup ke sistem dengan malware tambahan.

Kampanye yang menargetkan orang-orang dari Jepang

Serangan yang dilakukan pada 15-16 Juli bertujuan untuk mempengaruhi pengguna komputer di Jepang. Kali ini, para penjahat menargetkan pengguna 13 lembaga keuangan Jepang yang berbeda dengan kampanye malvertising. Korban dikirim ke situs yang mencurigakan dengan kode JavaScript berbahaya yang mengarahkan pengguna ke kit exploit Rig[4].

Peretas dipekerjakan hxxp://jmjp2l7yqgaj5xvv[.]bawang/kpanel/connect.php sebagai C&C mereka untuk distribusi Kronos. Peneliti menggambarkan kekhasan serangan itu sebagai berikut:

JavaScript ini mengarahkan korban ke kit exploit RIG, yang mendistribusikan malware pengunduh SmokeLoader.

Kampanye yang menargetkan pengguna yang berlokasi di Polandia

Pada 15 Juli, pakar keamanan menganalisis kampanye Kronos ketiga yang juga menggunakan email spam berbahaya. Orang-orang dari Polandia menerima email dengan faktur palsu bernama sebagai “Faktura 2018.07.16.” Dokumen yang dikaburkan berisi eksploitasi "Equation Editor" CVE-2017-11882 untuk menyusup ke sistem dengan virus Kronos.

Korban diarahkan ke hxxp://mysit[.]space/123//v/0jLHzUW yang dirancang untuk menjatuhkan muatan malware. Catatan terakhir oleh para ahli adalah bahwa kampanye ini digunakan hxxp://suzfjfguuis326qw[.]bawang/kpanel/connect.php sebagai C&C-nya.

Kronos mungkin akan diganti namanya menjadi Osiris Trojan pada tahun 2018

Saat mengintrospeksi pasar bawah tanah, para ahli mendeteksi itu pada saat Kronos edisi 2018 ditemukan, seorang peretas anonim sedang mempromosikan Trojan perbankan baru bernama Osiris di peretasan forum[5].

Ada beberapa spekulasi dan bukti tidak langsung yang menunjukkan bahwa versi baru Kronos ini telah berganti nama menjadi "Osiris" dan sedang dijual di pasar bawah tanah.

Meskipun para peneliti tidak dapat mengkonfirmasi fakta ini, ada beberapa kesamaan antara virus:

  • Ukuran Trojan Osiris mendekati malware Kronos (350 dan 351 KB);
  • Keduanya menggunakan browser Tor;
  • Sampel pertama trojan Kronos bernama os.exe yang mungkin merujuk ke Osiris.