Ir atklāta jaunā Kronos Banking Trojas zirga versija
Pētnieki atklāja jaunu Kronos Banking Trojas zirga variantu 2018. gada aprīlī. Sākumā iesniegtie paraugi bija tikai testi. Lai gan eksperti to aplūkoja tuvāk, kad reālās dzīves kampaņas ir sākušas izplatīt Trojas zirgu visā pasaulē.
Kronos vīruss pirmo reizi tika atklāts 2014. gadā, un pēdējos gados tas nav bijis aktīvs. Tomēr atdzimšana ir radījusi vairāk nekā trīs atšķirīgas kampaņas, kuru mērķauditorija ir datoru lietotāji Vācijā, Japānā un Polijā.[1]. Tāpat pastāv būtisks risks, ka uzbrucēju mērķis ir panākt, lai infekcija izplatītos visā pasaulē.
Saskaņā ar analīzi, Kronos Banking Trojas zirga pamanāmākā jaunā funkcija ir atjaunināts Command-and-Control (C&C) serveris, kas paredzēts darbam kopā ar Tor pārlūku.[2]. Šī funkcija ļauj noziedzniekiem palikt anonīmiem uzbrukumu laikā.
Kronos izplatīšanas kampaņu īpatnības
Drošības pētnieki atzīmē, ka kopš 27. jūnija viņi ir izpētījuši četras dažādas kampaņas, kuru rezultātā tika instalēta Kronos ļaunprātīga programmatūra. Banku Trojas zirga izplatīšanai bija savas īpatnības, kas katrā mērķa valstī, tostarp Vācijā, Japānā un Polijā, bija atšķirīgas.
Kampaņas mērķauditorija ir vācu valodā runājošie datoru lietotāji
Trīs dienu laikā no 27. jūnija līdz 30. jūnijam eksperti atklāja malspama kampaņu, kas tika izmantota Kronos vīrusa izplatīšanai. Ļaunprātīgos e-pastos bija tēmas rindiņas “Noteikumu un nosacījumu atjaunināšana.” vai “Atgādinājums: 9415166” un tā mērķis bija inficēt 5 Vācijas finanšu iestāžu lietotāju datorus[3].
Kronos surogātpasta e-pastiem tika pievienoti šādi ļaunprātīgi pielikumi:
- agb_9415166.doc
- Mahnung_9415167.doc
Izmantoti uzbrucēji hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL kā viņu C&C serveri. Surogātpasta e-pastos bija Word dokumenti, kuru ļaunprātīgie makro, ja tie bija iespējoti, tika ieprogrammēti, lai nomestu Kronos bankas Trojas zirgu. Tika konstatēti arī dūmu iekrāvēji, kas sākotnēji bija paredzēti, lai sistēmā iefiltrētos ar papildu ļaunprātīgu programmatūru.
Kampaņas mērķauditorija ir cilvēki no Japānas
Uzbrukumi, kas veikti no 15. līdz 16.jūlijam, bija vērsti uz datoru lietotājiem Japānā. Šoreiz noziedznieki ar ļaunprātīgas reklāmas kampaņām vērsās pret 13 dažādu Japānas finanšu iestāžu lietotājiem. Upuri tika nosūtīti uz aizdomīgo vietni ar ļaunprātīgiem JavaScript kodiem, kas novirzīja lietotājus uz Rig ekspluatācijas komplektu[4].
Nodarbināti hakeri hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php kā viņu C&C Kronos izplatīšanai. Pētnieki uzbrukuma īpatnības raksturo šādi:
Šis JavaScript novirzīja upurus uz RIG izmantošanas komplektu, kas izplatīja SmokeLoader lejupielādētāja ļaunprogrammatūru.
Kampaņas mērķauditorija ir lietotāji, kas atrodas Polijā
15. jūlijā drošības eksperti analizēja trešo Kronos kampaņu, kurā tika izmantoti arī ļaunprātīgi surogātpasta e-pasti. Cilvēki no Polijas saņēma e-pasta ziņojumus ar viltotiem rēķiniem ar nosaukumu kā “Faktura 2018.07.16.” Apslēptajā dokumentā bija CVE-2017-11882 “Equation Editor” izmantošana, lai sistēmās iefiltrētos ar Kronos vīrusu.
Upuri tika novirzīti uz hxxp://mysit[.]space/123//v/0jLHzUW kas tika izstrādāts, lai samazinātu ļaunprātīgās programmatūras slodzi. Pēdējā ekspertu piezīme ir tāda, ka šī kampaņa tika izmantota hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php kā tās C&C.
2018. gadā Kronos, iespējams, tiks pārdēvēts par Osiris Trojas zirgu
Izpētot pagrīdes tirgus, eksperti atklāja, ka laikā, kad Kronos 2018. tika atklāts, anonīms hakeris uzlaušanas laikā reklamēja jaunu bankas Trojas zirgu ar nosaukumu Osiris forumos[5].
Ir dažas spekulācijas un netieši pierādījumi, kas liecina, ka šī jaunā Kronos versija ir pārdēvēta par "Osiris" un tiek pārdota pagrīdes tirgos.
Lai gan pētnieki nevar apstiprināt šo faktu, vīrusiem ir vairākas līdzības:
- Osiris Trojan izmērs ir tuvu Kronos ļaunprogrammatūrai (350 un 351 KB);
- Abi izmanto Tor pārlūku;
- Pirmais Trojas zirga Kronos paraugs tika nosaukts kā os.exe, kas varētu atsaukties uz Osiris.