დაბრუნება: Kronos Banking ტროას კვლავ ჩნდება კიბერსივრცეში

MiscellaneaDec 20, 2021
click fraud protection

Kronos Banking ტროას ახალი ვერსია აღმოაჩინეს

Kronos საბანკო ტროას დაბრუნებამკვლევარებმა აღმოაჩინეს ახალი Kronos 2018 გამოცემა, რომელიც იყენებს 3 განსხვავებულ კამპანიას და მიზნად ისახავს ადამიანებს გერმანიიდან, იაპონიიდან და პოლონეთიდან.

მკვლევარებმა აღმოაჩინეს Kronos Banking ტროას ახალი ვარიანტი 2018 წლის აპრილში. თავდაპირველად, წარმოდგენილი ნიმუშები მხოლოდ ტესტები იყო. თუმცა, ექსპერტებმა უფრო ახლოს დააკვირდნენ მას შემდეგ, რაც რეალურმა კამპანიებმა დაიწყეს ტროას ცხენის გავრცელება მთელ მსოფლიოში.

კრონოსის ვირუსი პირველად 2014 წელს აღმოაჩინეს და ბოლო წლებში არ იყო აქტიური. თუმცა, ხელახლა დაბადებამ გამოიწვია სამზე მეტი განსხვავებული კამპანია, რომლებიც მიმართულია კომპიუტერის მომხმარებლებს გერმანიაში, იაპონიასა და პოლონეთში.[1]. ანალოგიურად, არსებობს არსებითი რისკი იმისა, რომ თავდამსხმელები მიზნად ისახავს ინფექციის გავრცელებას მთელს მსოფლიოში.

ანალიზის მიხედვით, Kronos Banking ტროას ყველაზე შესამჩნევი ახალი ფუნქცია არის განახლებული Command-and-Control (C&C) სერვერი, რომელიც შექმნილია Tor ბრაუზერთან ერთად მუშაობისთვის.[2]. ეს ფუნქცია საშუალებას აძლევს დამნაშავეებს დარჩეს ანონიმური თავდასხმების დროს.

კრონოსის სადისტრიბუციო კამპანიების თავისებურებები

უსაფრთხოების მკვლევარები აღნიშნავენ, რომ მათ 27 ივნისიდან მოყოლებული ოთხი განსხვავებული კამპანია გამოიკვლიეს, რამაც Kronos მავნე პროგრამის დაყენება გამოიწვია. საბანკო ტროას განაწილებას ჰქონდა თავისი თავისებურებები, რომლებიც განსხვავდებოდა თითოეულ სამიზნე ქვეყანაში, მათ შორის გერმანიაში, იაპონიასა და პოლონეთში.

კამპანია, რომელიც მიმართულია გერმანულენოვან კომპიუტერის მომხმარებლებს

27 ივნისიდან 30 ივნისის ჩათვლით სამდღიანი პერიოდის განმავლობაში ექსპერტებმა აღმოაჩინეს malspam კამპანია, რომელიც გამოიყენებოდა კრონოს ვირუსის გასავრცელებლად. მავნე ელ.წერილი შეიცავდა სათაურის ხაზებს "ჩვენი პირობების განახლება." ან შეხსენება: 9415166 და მიზნად ისახავდა 5 გერმანული ფინანსური ინსტიტუტის მომხმარებლის კომპიუტერების დაინფიცირებას[3].

შემდეგი მავნე დანართები დაემატა Kronos-ის სპამ წერილებს:

  • agb_9415166.doc
  • Mahnung_9415167.doc

თავდამსხმელები იყენებდნენ hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL, როგორც მათი C&C სერვერი. სპამის ელფოსტა შეიცავდა Word დოკუმენტებს, რომლებიც მავნე მაკროებს, რომლებიც ჩართული იყო დაპროგრამებული იყო Kronos banking Trojan-ის ჩამოსაშლელად. ასევე, აღმოჩენილია კვამლის დამტვირთველები, რომლებიც თავდაპირველად შექმნილია სისტემაში დამატებითი მავნე პროგრამების შეღწევისთვის.

კამპანია მიმართულია იაპონიიდან

15-16 ივლისს განხორციელებული თავდასხმები მიზნად ისახავდა იაპონიაში კომპიუტერის მომხმარებლებზე ზემოქმედებას. ამჯერად, კრიმინალების სამიზნე იყო 13 სხვადასხვა იაპონური ფინანსური ინსტიტუტის მომხმარებლები მალვერტიზირებული კამპანიებით. მსხვერპლი იგზავნებოდა საეჭვო საიტზე მავნე JavaScript კოდებით, რომლებიც გადამისამართებდნენ მომხმარებლებს Rig ექსპლოიტის კომპლექტში.[4].

ჰაკერები მუშაობდნენ hxxp://jmjp2l7yqgaj5xvv[.]ხახვი/kpanel/connect.php როგორც მათი C&C კრონოსის განაწილებისთვის. მკვლევარები თავდასხმის თავისებურებებს შემდეგნაირად აღწერენ:

ამ JavaScript-მა მსხვერპლთა გადამისამართება RIG ექსპლოიტის კომპლექტში, რომელიც ავრცელებდა SmokeLoader ჩამომტვირთველ მავნე პროგრამას.

კამპანია მიმართულია პოლონეთში მდებარე მომხმარებლებზე

15 ივლისს უსაფრთხოების ექსპერტებმა გააანალიზეს Kronos-ის მესამე კამპანია, რომელშიც ასევე გამოიყენეს მავნე სპამის ელ.წერილები. პოლონეთიდან ადამიანებმა მიიღეს ელ.წერილი ყალბი ინვოისებით დასახელებული როგორც "ფაქტურა 2018.07.16." ბუნდოვანი დოკუმენტი შეიცავდა CVE-2017-11882 „განტოლების რედაქტორს“ ექსპლუატაციას კრონოს ვირუსის სისტემებში შესაღწევად.

დაზარალებულები გადამისამართდნენ hxxp://mysit[.]space/123//v/0jLHzUW რომელიც შექმნილია მავნე პროგრამის ტვირთამწეობის ჩამოსაშლელად. ექსპერტების ბოლო შენიშვნა არის ის, რომ ამ კამპანიამ გამოიყენა hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php როგორც მისი C&C.

კრონოსი შესაძლოა 2018 წელს ოსირის ტროიანად გადაიცვალოს

მიწისქვეშა ბაზრების შესწავლისას, ექსპერტებმა დაადგინეს, რომ იმ დროს, როდესაც Kronos 2018 გამოცემა აღმოჩენილი იქნა, ანონიმური ჰაკერი ჰაკერზე ახალ საბანკო ტროას სახელად ოსირისის რეკლამას უწევდა ფორუმები[5].

არსებობს გარკვეული სპეკულაციები და არაპირდაპირი მტკიცებულებები, რომლებიც ვარაუდობენ, რომ Kronos-ის ახალი ვერსია შეიცვალა "ოსირისი" და იყიდება მიწისქვეშა ბაზრებზე.

მიუხედავად იმისა, რომ მკვლევარები ვერ ადასტურებენ ამ ფაქტს, ვირუსებს შორის მრავალი მსგავსებაა:

  • Osiris Trojan-ის ზომა ახლოსაა Kronos მავნე პროგრამასთან (350 და 351 KB);
  • ორივე იყენებს Tor ბრაუზერს;
  • Kronos ტროას პირველ ნიმუშს ეწოდა os.exe, რომელიც შეიძლება ეხებოდეს ოსირისს.