קאמבק: טרויאני Kronos Banking מופיע שוב במרחב הווירטואלי

הגרסה החדשה של הטרויאני Kronos Banking התגלתה

הקאמבק של טרויאני בנקאות קרונוסחוקרים זיהו מהדורה חדשה של Kronos 2018 שמפעילה 3 קמפיינים נפרדים וממוקדת לאנשים מגרמניה, יפן ופולין.

חוקרים גילו גרסה חדשה של טרויאני Kronos Banking באפריל 2018. בתחילה, הדוגמאות שהוגשו היו רק בדיקות. אם כי, מומחים בחנו מקרוב לאחר שמסעות פרסום אמיתיים החלו להפיץ את הסוס הטרויאני ברחבי העולם.

וירוס קרונוס התגלה לראשונה בשנת 2014 ולא היה פעיל בשנים האחרונות. עם זאת, הלידה מחדש הביאה ליותר משלושה מסעות פרסום שונים המכוונים למשתמשי מחשב בגרמניה, יפן ופולין[1]. כמו כן, קיים סיכון משמעותי שהתוקפים שואפים לגרום לזיהום להתפשט ברחבי העולם.

על פי הניתוח, התכונה החדשה הבולטת ביותר של הטרויאני Kronos Banking היא שרת Command-and-Control (C&C) מעודכן שנועד לעבוד יחד עם דפדפן Tor[2]. תכונה זו מאפשרת לפושעים להישאר אנונימיים במהלך ההתקפות.

המוזרויות של קמפיינים להפצה של קרונוס

חוקרי אבטחה מציינים שהם בדקו בעצמם ארבעה קמפיינים שונים מאז ה-27 ביוני שהובילו להתקנת תוכנות זדוניות של Kronos. להפצה של הטרויאני הבנקאי היו מוזרויות משלה, שונות בכל אחת ממדינות היעד, כולל גרמניה, יפן ופולין.

מסע פרסום המכוון למשתמשי מחשב דוברי גרמנית

במהלך שלושת הימים, בין ה-27 ל-30 ביוני, גילו מומחים מסע ספאם ששימש להפצת וירוס קרונוס. הודעות דוא"ל זדוניות הכילו את שורות הנושא "מעדכנים את התנאים וההגבלות שלנו." אוֹ "תזכורת: 9415166" ומטרתה להדביק מחשבים של 5 משתמשים של מוסדות פיננסיים גרמניים[3].

הקבצים המצורפים הזדוניים הבאים צורפו בהודעות דואר זבל של Kronos:

  • agb_9415166.doc
  • Mahnung_9415167.doc

תוקפים השתמשו hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php כתובת האתר כשרת C&C שלהם. הודעות דואר זבל הכילו מסמכי Word אשר פקודות מאקרו זדוניות אשר אם הופעלו תוכנתו להפיל את קרונוס בנקאי טרויאני. כמו כן, זוהו מעמיסי עשן אשר נועדו תחילה לחדור למערכת עם תוכנות זדוניות נוספות.

מסע פרסום המכוון לאנשים מיפן

התקפות שבוצעו ב-15-16 ביולי נועדו להשפיע על משתמשי מחשב ביפן. הפעם, הפושעים כוונו למשתמשים של 13 מוסדות פיננסיים יפניים שונים בקמפיינים של פרסום רע. קורבנות נשלחו לאתר החשוד עם קודי JavaScript זדוניים שהפנו משתמשים לערכת Rig exploit[4].

האקרים מועסקים hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php כ-C&C שלהם להפצה של Kronos. חוקרים מתארים את המוזרויות של המתקפה באופן הבא:

JavaScript זה הפנה את הקורבנות לערכת הניצול RIG, שהפיצה את תוכנת ההורדה SmokeLoader.

מסע פרסום המכוון למשתמשים הממוקמים בפולין

ב-15 ביולי, מומחי אבטחה ניתחו את מסע הפרסום השלישי של Kronos שהפעיל גם הודעות דואר זבל זדוניות. אנשים מפולין קיבלו מיילים עם חשבוניות מזויפות בשם "פקטורה 2018.07.16." המסמך המעורפל הכיל CVE-2017-11882 "עורך המשוואות" כדי לחדור למערכות עם וירוס קרונוס.

הקורבנות הופנו אל hxxp://mysit[.]space/123//v/0jLHzUW שנועד להוריד את המטען של התוכנה הזדונית. ההערה האחרונה של מומחים היא שהקמפיין הזה השתמש hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php כמו C&C שלה.

קרונוס עשוי להיות מיתוג מחדש כ-Osiris Trojan ב-2018

תוך התבוננות פנימית בשווקים המחתרתיים, מומחים גילו כי בזמן מהדורת קרונוס 2018 התגלה, האקר אנונימי מקדם טרויאני בנקאי חדש בשם Osiris על הפריצה פורומים[5].

יש כמה ספקולציות וראיות נסיבתיות המצביעות על כך שגרסה חדשה זו של קרונוס זכתה למיתוג מחדש "אוזיריס" ונמכרת בשווקים תת-קרקעיים.

למרות שהחוקרים אינם יכולים לאשר עובדה זו, ישנם קווי דמיון מרובים בין הווירוסים:

  • הגודל של Osiris Trojan קרוב לתוכנות זדוניות של Kronos (350 ו-351 KB);
  • שניהם משתמשים בדפדפן Tor;
  • הדוגמה הראשונה של קרונוס הטרויאני נקראה os.exe שעשוי להתייחס לאוזיריס.