Den nye versjonen av Kronos Banking-trojanen er oppdaget
Forskere har oppdaget en ny variant av Kronos Banking-trojaner i april 2018. Til å begynne med var de innsendte prøvene bare tester. Selv om eksperter tok en nærmere titt når virkelige kampanjer har begynt å spre den trojanske hesten over hele verden.
Kronos-viruset ble først oppdaget i 2014 og har ikke vært aktivt de siste årene. Gjenfødelsen har imidlertid resultert i mer enn tre forskjellige kampanjer som er rettet mot databrukere i Tyskland, Japan og Polen[1]. På samme måte er det en betydelig risiko for at angriperne tar sikte på å få infeksjonen til å spre seg over hele verden.
I følge analysen er den mest merkbare nye funksjonen til Kronos Banking trojan en oppdatert Command-and-Control (C&C) server som er designet for å fungere sammen med Tor-nettleseren[2]. Denne funksjonen lar kriminelle forbli anonyme under angrepene.
Det særegne ved Kronos distribusjonskampanjer
Sikkerhetsforskere bemerker at de har introspektert fire forskjellige kampanjer siden 27. juni som har ført til installasjon av Kronos malware. Fordelingen av banktrojaneren hadde sine egne særegenheter som var forskjellige i hvert av de målrettede landene, inkludert Tyskland, Japan og Polen.
Kampanje rettet mot tysktalende databrukere
I løpet av tredagersperioden fra 27. juni til 30. juni oppdaget eksperter en malspam-kampanje som ble brukt til å spre Kronos-viruset. Ondsinnede e-poster inneholdt emnelinjene "Oppdaterer våre vilkår og betingelser." eller "Påminnelse: 9415166" og hadde som mål å infisere datamaskiner til 5 tyske finansinstitusjoners brukere[3].
Følgende ondsinnede vedlegg ble lagt til i Kronos spam-e-poster:
- agb_9415166.doc
- Mahnung_9415167.doc
Angripere brukt hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL som deres C&C-server. Spam-e-poster inneholdt Word-dokumenter med ondsinnede makroer som hvis aktivert ble programmert til å slippe Kronos banktrojaner. Det ble også oppdaget røyklastere som i utgangspunktet er designet for å infiltrere systemet med ytterligere skadelig programvare.
Kampanje rettet mot folk fra Japan
Angrep utført 15.–16. juli hadde som mål å påvirke databrukere i Japan. Denne gangen målrettet forbryterne brukere av 13 forskjellige japanske finansinstitusjoner med malvertising-kampanjer. Ofrene ble sendt til det mistenkelige nettstedet med ondsinnede JavaScript-koder som omdirigerte brukere til Rig exploit kit[4].
Hackere ansatt hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php som deres C&C for Kronos-distribusjon. Forskere beskriver angrepets særegenheter som følger:
Denne JavaScript-koden omdirigerte ofrene til RIG-utnyttingssettet, som distribuerte SmokeLoader-nedlasteren.
Kampanje rettet mot brukere i Polen
15. juli analyserte sikkerhetseksperter den tredje Kronos-kampanjen som også brukte ondsinnede spam-e-poster. Folk fra Polen mottok e-poster med falske fakturaer kalt som "Faktura 2018.07.16." Det skjulte dokumentet inneholdt CVE-2017-11882 «Equation Editor»-utnyttelse for å infiltrere systemene med Kronos-virus.
Ofrene ble omdirigert til hxxp://mysit[.]space/123//v/0jLHzUW som ble designet for å slippe nyttelasten til skadelig programvare. Den siste merknaden fra eksperter er at denne kampanjen brukes hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php som sin C&C.
Kronos kan bli omdøpt til Osiris Trojan i 2018
Mens de introspiserte de underjordiske markedene, oppdaget eksperter det på det tidspunktet da Kronos 2018-utgaven ble oppdaget, promoterte en anonym hacker en ny banktrojaner ved navn Osiris på hackingen fora[5].
Det er noen spekulasjoner og omstendigheter som tyder på at denne nye versjonen av Kronos har blitt omdøpt til "Osiris" og selges på underjordiske markeder.
Selv om forskere ikke kan bekrefte dette faktum, er det flere likheter mellom virusene:
- Størrelsen på Osiris Trojan er nær Kronos malware (350 og 351 KB);
- Begge bruker Tor-nettleseren;
- Den første prøven av Kronos-trojaneren ble kalt os.exe som kan referere til Osiris.