Buvo atrasta nauja Kronos Banking Trojos arklys versija
2018 m. balandžio mėn. mokslininkai atrado naują Trojos arklys „Kronos Banking“ variantą. Iš pradžių pateikti pavyzdžiai buvo tik bandymai. Tačiau ekspertai pažvelgė atidžiau, kai tik realios kampanijos pradėjo platinti Trojos arklį visame pasaulyje.
Kronos virusas pirmą kartą buvo aptiktas 2014 m. ir pastaraisiais metais nebuvo aktyvus. Tačiau atgimimas paskatino daugiau nei tris skirtingas kampanijas, kurios yra skirtos kompiuterių vartotojams Vokietijoje, Japonijoje ir Lenkijoje.[1]. Taip pat yra didelė rizika, kad užpuolikai siekia, kad infekcija išplistų visame pasaulyje.
Remiantis analize, labiausiai pastebima nauja Trojos arklys „Kronos Banking“ yra atnaujintas „Command-and-Control“ (C&C) serveris, sukurtas veikti kartu su „Tor“ naršykle.[2]. Ši funkcija leidžia nusikaltėliams išlikti anoniminiams išpuolių metu.
Kronos platinimo akcijų ypatumai
Saugumo tyrinėtojai pažymi, kad nuo birželio 27 d. jie ištyrė keturias skirtingas kampanijas, dėl kurių buvo įdiegta „Kronos“ kenkėjiška programa. Bankinio Trojos arklys platinimas turėjo savo ypatumus, kurie skyrėsi kiekvienoje tikslinėje šalyje, įskaitant Vokietiją, Japoniją ir Lenkiją.
Kampanija, skirta vokiškai kalbantiems kompiuterių vartotojams
Per tris dienas nuo birželio 27 d. iki birželio 30 d. ekspertai aptiko „malspam“ kampaniją, kuri buvo naudojama Kronos virusui platinti. Kenkėjiškuose el. laiškuose buvo temos eilutės „Atnaujiname mūsų taisykles ir sąlygas“. arba "Priminimas: 9415166" ir siekė užkrėsti 5 Vokietijos finansų įstaigų vartotojų kompiuterius[3].
Prie Kronos šlamšto el. laiškų buvo pridėti šie kenkėjiški priedai:
- agb_9415166.doc
- Mahnung_9415167.doc
Naudojami užpuolikai hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL kaip jų C&C serveris. Šlamšto el. laiškuose buvo „Word“ dokumentų, kurių kenkėjiškos makrokomandos, jei įjungtos, buvo užprogramuotos išmesti „Kronos Banking Trojan“. Taip pat buvo aptikti dūmų krovikliai, kurie iš pradžių buvo sukurti taip, kad į sistemą įsiskverbtų papildomos kenkėjiškos programos.
Kampanija, skirta žmonėms iš Japonijos
Liepos 15–16 dienomis įvykdytomis atakomis buvo siekiama paveikti kompiuterių vartotojus Japonijoje. Šį kartą nusikaltėliai, vykdydami netinkamos reklamos kampanijas, nusitaikė į 13 skirtingų Japonijos finansinių institucijų vartotojų. Aukos buvo išsiųstos į įtartiną svetainę su kenkėjiškais JavaScript kodais, kurie nukreipė vartotojus į Rig exploit kit.[4].
Įdarbinti įsilaužėliai hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php kaip jų C&C Kronos platinimui. Tyrėjai atakos ypatumus apibūdina taip:
Šis „JavaScript“ nukreipė aukas į RIG išnaudojimo rinkinį, kuris platino „SmokeLoader“ atsisiuntimo programą.
Kampanija, skirta naudotojams, esantiems Lenkijoje
Liepos 15 d. saugumo ekspertai išanalizavo trečiąją „Kronos“ kampaniją, kurioje taip pat buvo naudojami kenkėjiški el. Žmonės iš Lenkijos gavo elektroninius laiškus su netikromis sąskaitomis, pavadintomis kaip „Faktūra 2018.07.16“. Užtemdytame dokumente buvo CVE-2017-11882 „Equation Editor“ išnaudojimas, skirtas Kronos virusui įsiskverbti į sistemas.
Aukos buvo nukreiptos į hxxp://mysit[.]space/123//v/0jLHzUW kuris buvo skirtas sumažinti kenkėjiškų programų apkrovą. Paskutinė ekspertų pastaba yra ta, kad ši kampanija buvo naudojama hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php kaip jos C&C.
2018 m. Kronos gali būti pervadintas į Osiris Trojos arklys
Žvelgdami į pogrindžio rinkas, ekspertai pastebėjo, kad tuo metu, kai Kronos 2018 m. buvo aptiktas, anoniminis įsilaužėlis reklamavo naują bankinį Trojos arklį pavadinimu Osiris. forumuose[5].
Yra keletas spėlionių ir netiesioginių įrodymų, leidžiančių manyti, kad ši nauja Kronos versija buvo pervadinta „Osiris“ ir parduodama požeminėse rinkose.
Nors mokslininkai negali patvirtinti šio fakto, virusai turi daug panašumų:
- „Osiris Trojan“ dydis yra artimas „Kronos“ kenkėjiškajai programai (350 ir 351 KB);
- Abu naudoja Tor naršyklę;
- Pirmasis Kronos Trojos arklys buvo pavadintas os.exe, kuris gali reikšti Osiris.