Powrót: trojan Kronos Banking ponownie pojawia się w cyberprzestrzeni

RóżneDec 20, 2021

Wykryto nową wersję trojana Kronos Banking

Powrót trojana bankowego KronosNaukowcy wykryli nową edycję Kronos 2018, która obejmuje 3 różne kampanie i jest skierowana do osób z Niemiec, Japonii i Polski.

Naukowcy odkryli nowy wariant trojana Kronos Banking w kwietniu 2018 roku. Na początku nadesłane próbki były jedynie testami. Chociaż eksperci przyjrzeli się bliżej, gdy prawdziwe kampanie zaczęły rozpowszechniać konia trojańskiego na całym świecie.

Wirus Kronos został po raz pierwszy odkryty w 2014 roku i nie był aktywny w ostatnich latach. Jednak odrodzenie zaowocowało ponad trzema odrębnymi kampaniami skierowanymi do użytkowników komputerów w Niemczech, Japonii i Polsce[1]. Podobnie istnieje znaczne ryzyko, że atakujący zamierzają rozprzestrzenić infekcję na cały świat.

Według analizy, najbardziej zauważalną nową funkcją trojana Kronos Banking jest zaktualizowany serwer Command-and-Control (C&C), który został zaprojektowany do współpracy z przeglądarką Tor[2]. Ta funkcja pozwala przestępcom zachować anonimowość podczas ataków.

Specyfika kampanii dystrybucyjnych Kronos

Badacze bezpieczeństwa zauważają, że od 27 czerwca przeprowadzili introspekcję czterech różnych kampanii, które doprowadziły do ​​instalacji złośliwego oprogramowania Kronos. Dystrybucja trojana bankowego miała swoje specyficzne cechy, różniące się w każdym z zaatakowanych krajów, w tym w Niemczech, Japonii i Polsce.

Kampania skierowana do niemieckojęzycznych użytkowników komputerów

W ciągu trzech dni od 27 do 30 czerwca eksperci odkryli kampanię spamu, która została wykorzystana do rozprzestrzeniania wirusa Kronos. Złośliwe e-maile zawierały wiersze tematu „Aktualizacja naszych warunków”. lub „Przypomnienie: 9415166” i miał na celu zainfekowanie komputerów użytkowników 5 niemieckich instytucji finansowych[3].

Następujące złośliwe załączniki zostały dołączone do wiadomości spamowych Kronos:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Wykorzystywany atakujący hxxp://jhrppbnh4d674kzh[.]cebula/kpanel/connect.php URL jako ich serwer C&C. Wiadomości e-mail zawierające spam zawierały dokumenty Worda zawierające złośliwe makra, które, jeśli były włączone, były zaprogramowane do usuwania trojana bankowego Kronos. Wykryto również programy ładujące dym, które początkowo mają na celu infiltrację systemu dodatkowym złośliwym oprogramowaniem.

Kampania kierowana do osób z Japonii

Ataki przeprowadzone w dniach 15-16 lipca miały na celu zaatakowanie użytkowników komputerów w Japonii. Tym razem przestępcy zaatakowali użytkowników 13 różnych japońskich instytucji finansowych za pomocą kampanii złośliwych reklam. Ofiary zostały wysłane na podejrzaną stronę ze złośliwymi kodami JavaScript, które przekierowywały użytkowników do zestawu exploitów Rig[4].

Zatrudnieni hakerzy hxxp://jmjp2l7yqgaj5xvv[.]cebula/kpanel/connect.php jako ich C&C dla dystrybucji Kronos. Badacze opisują osobliwości ataku w następujący sposób:

Ten JavaScript przekierowywał ofiary do zestawu exploitów RIG, który rozpowszechniał malware typu downloader SmokeLoader.

Kampania kierowana do użytkowników zlokalizowanych w Polsce

15 lipca eksperci ds. bezpieczeństwa przeanalizowali trzecią kampanię Kronos, która również wykorzystywała złośliwe wiadomości spamowe. Osoby z Polski otrzymywały e-maile z fałszywymi fakturami o nazwie „Faktura 2018.07.16.” Zaciemniony dokument zawierał exploit CVE-2017-11882 „Edytor równań” do infiltracji systemów za pomocą wirusa Kronos.

Ofiary zostały przekierowane do hxxp://mysit[.]space/123//v/0jLHzUW który został zaprojektowany w celu zrzucenia ładunku złośliwego oprogramowania. Ostatnia uwaga ekspertów jest taka, że ​​w tej kampanii wykorzystano hxxp://suzfjfguuis326qw[.]cebula/kpanel/connect.php jako jego C&C.

Kronos może zostać przemianowany na trojana Osiris w 2018 roku

Eksperci podczas introspekcji rynków podziemnych wykryli to w czasie edycji Kronos 2018 został odkryty, anonimowy haker promował podczas włamania nowego trojana bankowego o nazwie Osiris fora[5].

Istnieją spekulacje i poszlaki sugerujące, że ta nowa wersja Kronosa została przemianowana na „Ozyrysa” i jest sprzedawana na podziemnych rynkach.

Chociaż naukowcy nie mogą tego potwierdzić, istnieje wiele podobieństw między wirusami:

  • Rozmiar trojana Osiris jest zbliżony do rozmiaru złośliwego oprogramowania Kronos (350 i 351 KB);
  • Oba używają przeglądarki Tor;
  • Pierwsza próbka trojana Kronos została nazwana os.exe, co może odnosić się do Ozyrysa.