De nieuwe versie van Kronos Banking trojan is ontdekt
Onderzoekers hebben in april 2018 een nieuwe variant van de Kronos Banking-trojan ontdekt. Aanvankelijk waren de ingediende monsters slechts tests. Hoewel, experts gingen nader kijken toen echte campagnes begonnen het Trojaanse paard over de hele wereld te verspreiden.
Het Kronos-virus werd voor het eerst ontdekt in 2014 en is de afgelopen jaren niet actief geweest. De wedergeboorte heeft echter geresulteerd in meer dan drie verschillende campagnes die gericht zijn op computergebruikers in Duitsland, Japan en Polen[1]. Evenzo is er een aanzienlijk risico dat de aanvallers de infectie wereldwijd willen verspreiden.
Volgens de analyse is de meest opvallende nieuwe functie van de Kronos Banking-trojan een bijgewerkte Command-and-Control (C&C)-server die is ontworpen om samen te werken met de Tor-browser[2]. Met deze functie kunnen de criminelen anoniem blijven tijdens de aanvallen.
De eigenaardigheden van Kronos-distributiecampagnes
Beveiligingsonderzoekers merken op dat ze sinds 27 juni vier verschillende campagnes hebben onderzocht die hebben geleid tot de installatie van Kronos-malware. De distributie van de bancaire trojan had zijn eigen bijzonderheden die in elk van de beoogde landen verschilden, waaronder Duitsland, Japan en Polen.
Campagne gericht op Duitstalige computergebruikers
Tijdens de driedaagse periode van 27 juni tot 30 juni ontdekten experts een malspamcampagne die werd gebruikt om het Kronos-virus te verspreiden. Schadelijke e-mails bevatten de onderwerpregels "Onze algemene voorwaarden bijwerken." of “Herinnering: 9415166” en gericht op het infecteren van computers van gebruikers van 5 Duitse financiële instellingen[3].
De volgende kwaadaardige bijlagen zijn toegevoegd aan Kronos spam-e-mails:
- agb_9415166.doc
- Mahnung_9415167.doc
aanvallers gebruikt hxxp://jhrppbnh4d674kzh[.]ui/kpanel/connect.php URL als hun C&C-server. Spam-e-mails bevatten Word-documenten met kwaadaardige macro's die, indien ingeschakeld, waren geprogrammeerd om de Kronos banking-trojan te verwijderen. Er zijn ook rookladers gedetecteerd die oorspronkelijk zijn ontworpen om het systeem te infiltreren met aanvullende malware.
Campagne gericht op mensen uit Japan
Aanvallen die op 15-16 juli werden uitgevoerd, waren gericht op computergebruikers in Japan. Deze keer richtten de criminelen zich met malvertisingcampagnes op gebruikers van 13 verschillende Japanse financiële instellingen. Slachtoffers werden naar de verdachte site gestuurd met kwaadaardige JavaScript-codes die gebruikers doorverwezen naar de Rig-exploitkit[4].
Hackers in dienst hxxp://jmjp2l7yqgaj5xvv[.]ui/kpanel/connect.php als hun C&C voor Kronos-distributie. Onderzoekers beschrijven de eigenaardigheden van de aanval als volgt:
Dit JavaScript leidde de slachtoffers door naar de RIG-exploitkit, die de SmokeLoader-downloader-malware verspreidde.
Campagne gericht op gebruikers in Polen
Op 15 juli analyseerden beveiligingsexperts de derde Kronos-campagne waarin ook kwaadaardige spam-e-mails werden gebruikt. Mensen uit Polen ontvingen e-mails met valse facturen met de naam als “Faktura 2018.07.16.” Het versluierde document bevatte CVE-2017-11882 “Equation Editor” exploit om de systemen te infiltreren met het Kronos-virus.
Slachtoffers werden doorgestuurd naar hxxp://mysit[.]spatie/123//v/0jLHzUW die is ontworpen om de lading van de malware te laten vallen. De laatste opmerking van experts is dat deze campagne gebruikt hxxp://suzfjfguuis326qw[.]ui/kpanel/connect.php als zijn C&C.
Kronos wordt in 2018 mogelijk omgedoopt tot Osiris Trojan
Terwijl ze de ondergrondse markten inspecteerden, ontdekten experts dat op het moment dat Kronos 2018-editie werd ontdekt, promootte een anonieme hacker een nieuwe banktrojan genaamd Osiris op het hacken forums[5].
Er is enige speculatie en indirect bewijs dat suggereert dat deze nieuwe versie van Kronos is omgedoopt tot "Osiris" en wordt verkocht op ondergrondse markten.
Hoewel onderzoekers dit feit niet kunnen bevestigen, zijn er meerdere overeenkomsten tussen de virussen:
- De grootte van Osiris Trojan ligt dicht bij Kronos-malware (350 en 351 KB);
- Beide gebruiken de Tor-browser;
- Het eerste voorbeeld van de Kronos-trojan werd os.exe genoemd, wat zou kunnen verwijzen naar Osiris.