Ritorno: il trojan Kronos Banking riappare nel cyberspazio

VarieDec 20, 2021
click fraud protection

Scoperta la nuova versione del trojan Kronos Banking

Il ritorno del trojan bancario KronosI ricercatori hanno rilevato una nuova edizione di Kronos 2018 che impiega 3 campagne distinte e si rivolge a persone provenienti da Germania, Giappone e Polonia.

I ricercatori hanno scoperto una nuova variante del trojan Kronos Banking nell'aprile 2018. In un primo momento, i campioni presentati erano solo dei test. Tuttavia, gli esperti hanno esaminato più da vicino una volta che le campagne di vita reale hanno iniziato a diffondere il cavallo di Troia in tutto il mondo.

Il virus Kronos è stato scoperto per la prima volta nel 2014 e non è stato attivo negli ultimi anni. Tuttavia, la rinascita ha portato a più di tre campagne distinte che prendono di mira gli utenti di computer in Germania, Giappone e Polonia[1]. Allo stesso modo, c'è un rischio sostanziale che gli aggressori mirino a diffondere l'infezione in tutto il mondo.

Secondo l'analisi, la nuova funzionalità più evidente di Kronos Banking Trojan è un server Command-and-Control (C&C) aggiornato progettato per funzionare insieme al browser Tor

[2]. Questa funzione consente ai criminali di rimanere anonimi durante gli attacchi.

Le peculiarità delle campagne di distribuzione Kronos

I ricercatori della sicurezza notano di aver analizzato quattro diverse campagne dal 27 giugno che hanno portato all'installazione del malware Kronos. La distribuzione del Trojan bancario aveva le sue peculiarità che differivano in ciascuno dei paesi presi di mira, tra cui Germania, Giappone e Polonia.

Campagna rivolta agli utenti di computer di lingua tedesca

Durante i tre giorni dal 27 giugno al 30 giugno gli esperti hanno scoperto una campagna di malspam utilizzata per diffondere il virus Kronos. Le e-mail dannose contenevano le righe dell'oggetto "Aggiornamento dei nostri termini e condizioni." o “Promemoria: 9415166” e mirava a infettare i computer degli utenti di 5 istituti finanziari tedeschi[3].

I seguenti allegati dannosi sono stati aggiunti alle e-mail di spam di Kronos:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Attaccanti utilizzati hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL come server C&C. Le e-mail di spam contenevano documenti Word contenenti macro dannose che, se abilitate, erano programmate per eliminare il Trojan bancario Kronos. Inoltre, sono stati rilevati fumogeni inizialmente progettati per infiltrarsi nel sistema con malware aggiuntivo.

Campagna rivolta a persone dal Giappone

Gli attacchi effettuati il ​​15-16 luglio miravano a colpire gli utenti di computer in Giappone. Questa volta, i criminali hanno preso di mira gli utenti di 13 diverse istituzioni finanziarie giapponesi con campagne di malvertising. Le vittime sono state inviate al sito sospetto con codici JavaScript dannosi che hanno reindirizzato gli utenti al kit di exploit Rig[4].

Hacker impiegati hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php come loro C&C per la distribuzione di Kronos. I ricercatori descrivono le peculiarità dell'attacco come segue:

Questo JavaScript reindirizzava le vittime all'exploit kit RIG, che distribuiva il malware del downloader di SmokeLoader.

Campagna mirata agli utenti situati in Polonia

Il 15 luglio, gli esperti di sicurezza hanno analizzato la terza campagna Kronos che utilizzava anche e-mail di spam dannose. Persone dalla Polonia hanno ricevuto e-mail con fatture false denominate come “Fattura 2018.07.16.” Il documento offuscato conteneva l'exploit CVE-2017-11882 "Equation Editor" per infiltrarsi nei sistemi con il virus Kronos.

Le vittime sono state reindirizzate a hxxp://mysit[.]space/123//v/0jLHzUW che è stato progettato per eliminare il payload del malware. La nota finale degli esperti è che questa campagna è stata utilizzata hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php come il suo C&C.

Kronos potrebbe essere rinominato come Osiris Trojan nel 2018

Durante l'introspezione dei mercati sotterranei, gli esperti lo hanno rilevato nel momento in cui Kronos 2018 edition è stato scoperto, un hacker anonimo stava promuovendo un nuovo trojan bancario chiamato Osiris sull'hacking forum[5].

Ci sono alcune speculazioni e prove circostanziali che suggeriscono che questa nuova versione di Kronos è stata ribattezzata "Osiride" e viene venduta sui mercati sotterranei.

Anche se i ricercatori non possono confermare questo fatto, ci sono molteplici somiglianze tra i virus:

  • La dimensione di Osiris Trojan è vicina al malware Kronos (350 e 351 KB);
  • Entrambi usano il browser Tor;
  • Il primo esempio di trojan Kronos è stato chiamato os.exe che potrebbe fare riferimento a Osiris.