カムバック:KronosBankingのトロイの木馬がサイバースペースに再登場

その他Dec 20, 2021

KronosBankingトロイの木馬の新しいバージョンが発見されました

クロノスバンキングトロイの木馬の復活研究者は、3つの異なるキャンペーンを採用し、ドイツ、日本、ポーランドの人々を対象とした新しいKronos2018エディションを検出しました。

研究者は、2018年4月にKronosBankingトロイの木馬の新しい亜種を発見しました。 当初、提出されたサンプルは単なるテストでした。 ただし、実際のキャンペーンがトロイの木馬を世界中に広め始めたら、専門家は詳しく調べました。

クロノスウイルスは2014年に最初に発見され、近年は活動していません。 ただし、再生の結果、ドイツ、日本、ポーランドのコンピューターユーザーを対象とした3つ以上のキャンペーンが実施されました。[1]. 同様に、攻撃者が感染を世界中に広めることを目的とする大きなリスクがあります。

分析によると、Kronos Bankingトロイの木馬の最も顕著な新機能は、Torブラウザーと連携するように設計された更新されたコマンドアンドコントロール(C&C)サーバーです。[2]. この機能により、犯罪者は攻撃中に匿名のままになります。

クロノス流通キャンペーンの特徴

セキュリティ研究者は、6月27日以降、Kronosマルウェアのインストールにつながった4つの異なるキャンペーンを内省したと述べています。 バンキング型トロイの木馬の分布には、ドイツ、日本、ポーランドなど、対象国ごとに異なる独自の特徴がありました。

ドイツ語を話すコンピューターユーザーを対象としたキャンペーン

6月27日から6月30日までの3日間で、専門家はクロノスウイルスの拡散に使用されたマルスパムキャンペーンを発見しました。 悪意のあるメールには件名が含まれていました 「利用規約を更新します。」 また 「リマインダー:9415166」 ドイツの5つの金融機関のユーザーのコンピューターに感染することを目的としています[3].

次の悪意のある添付ファイルがKronosスパムメールに追加されました。

  • agb_9415166.doc
  • Mahnung_9415167.doc

使用した攻撃者 hxxp:// jhrppbnh4d674kzh [。] onion / kpanel / connect.php C&CサーバーとしてのURL。 スパムメールには、有効にするとKronosバンキングトロイの木馬をドロップするようにプログラムされた悪意のあるマクロを含むWord文書が含まれていました。 また、最初はシステムに追加のマルウェアを侵入させるように設計されたスモークローダーが検出されました。

日本の人々をターゲットにしたキャンペーン

7月15〜16日に実行された攻撃は、日本のコンピューターユーザーに影響を与えることを目的としていました。 今回、犯罪者は、マルバタイジングキャンペーンで13の異なる日本の金融機関のユーザーを標的にしました。 被害者は、ユーザーをリグエクスプロイトキットにリダイレクトする悪意のあるJavaScriptコードとともに疑わしいサイトに送信されました[4].

雇われたハッカー hxxp:// jmjp2l7yqgaj5xvv [。] onion / kpanel / connect.php KronosディストリビューションのC&Cとして。 研究者は、攻撃の特徴を次のように説明しています。

このJavaScriptは、SmokeLoaderダウンローダーマルウェアを配布していたRIGエクスプロイトキットに被害者をリダイレクトしました。

ポーランドにいるユーザーをターゲットにしたキャンペーン

7月15日、セキュリティの専門家は、悪意のあるスパムメールも使用した3回目のKronosキャンペーンを分析しました。 ポーランドの人々は、次の名前の偽の請求書が記載された電子メールを受信しました 「Faktura2018.07.16。」 難読化されたドキュメントには、システムにクロノスウイルスを侵入させるためのCVE-2017-11882「EquationEditor」エクスプロイトが含まれていました。

犠牲者はにリダイレクトされました hxxp:// mysit [。] space / 123 // v / 0jLHzUW これは、マルウェアのペイロードをドロップするように設計されています。 専門家による最後の注意は、このキャンペーンが使用されたことです hxxp:// suzfjfguuis326qw [。] onion / kpanel / connect.php そのC&Cとして。

Kronosは、2018年にOsirisTrojanとしてブランド名が変更される可能性があります

地下市場を内省している間、専門家はクロノス2018版がその時にそれを検出しました 発見された、匿名のハッカーがハッキングでOsirisという名前の新しいバンキング型トロイの木馬を宣伝していました フォーラム[5].

クロノスのこの新しいバージョンが「オシリス」にリブランドされ、地下市場で販売されていることを示唆するいくつかの推測と状況証拠があります。

研究者はこの事実を確認できませんが、ウイルス間には複数の類似点があります。

  • Osirisトロイの木馬のサイズはKronosマルウェアに近い(350および351 KB)。
  • どちらもTorブラウザを使用しています。
  • Kronos trojanの最初のサンプルは、Osirisを指す可能性のあるos.exeという名前でした。