Retorno: o cavalo de Troia Kronos Banking reaparece no ciberespaço

MiscelâneaDec 20, 2021

A nova versão do cavalo de Tróia Kronos Banking foi descoberta

O retorno do cavalo de Troia bancário de KronosOs pesquisadores detectaram uma nova edição do Kronos 2018 que emprega 3 campanhas distintas e tem como alvo pessoas da Alemanha, Japão e Polônia.

Os pesquisadores descobriram uma nova variante do cavalo de Troia Kronos Banking em abril de 2018. No início, as amostras enviadas eram apenas testes. No entanto, os especialistas analisaram mais de perto quando as campanhas da vida real começaram a espalhar o cavalo de Tróia em todo o mundo.

O vírus Kronos foi descoberto pela primeira vez em 2014 e não esteve ativo nos últimos anos. No entanto, o renascimento resultou em mais de três campanhas distintas que têm como alvo usuários de computador na Alemanha, Japão e Polônia[1]. Da mesma forma, existe um risco substancial de que os invasores tenham como objetivo fazer com que a infecção se espalhe por todo o mundo.

De acordo com a análise, o novo recurso mais notável do cavalo de Troia Kronos Banking é um servidor de Comando e Controle (C&C) atualizado, projetado para funcionar em conjunto com o navegador Tor

[2]. Esse recurso permite que os criminosos permaneçam anônimos durante os ataques.

As peculiaridades das campanhas de distribuição da Kronos

Os pesquisadores de segurança observaram que examinaram quatro campanhas diferentes desde 27 de junho, que levaram à instalação do malware Kronos. A distribuição do Trojan bancário tinha suas próprias peculiaridades, diferindo em cada um dos países-alvo, incluindo Alemanha, Japão e Polônia.

Campanha destinada a usuários de computador que falam alemão

Durante o período de três dias de 27 de junho a 30 de junho, especialistas descobriram uma campanha de malspam que foi usada para espalhar o vírus Kronos. E-mails maliciosos continham as linhas de assunto “Atualizando nossos termos e condições.” ou “Lembrete: 9415166” e teve como objetivo infectar computadores de usuários de 5 instituições financeiras alemãs[3].

Os seguintes anexos maliciosos foram anexados aos e-mails de spam da Kronos:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Atacantes usados hxxp: // jhrppbnh4d674kzh [.] onion / kpanel / connect.php URL como seu servidor C&C. Os e-mails de spam continham documentos do Word cujas macros maliciosas que, se ativadas, eram programadas para eliminar o cavalo de Troia bancário Kronos. Além disso, foram detectados carregadores de fumaça que são inicialmente projetados para se infiltrar no sistema com malware adicional.

Campanha destinada a pessoas do Japão

Ataques realizados de 15 a 16 de julho tinham como objetivo afetar usuários de computador no Japão. Desta vez, os criminosos atacaram usuários de 13 instituições financeiras japonesas diferentes com campanhas de malvertising. As vítimas foram enviadas para o site suspeito com códigos JavaScript maliciosos que redirecionaram os usuários para o kit de exploração Rig[4].

Hackers empregados hxxp: // jmjp2l7yqgaj5xvv [.] onion / kpanel / connect.php como seu C&C para distribuição Kronos. Os pesquisadores descrevem as peculiaridades do ataque da seguinte forma:

Esse JavaScript redirecionava as vítimas para o kit de exploração RIG, que estava distribuindo o malware de download do SmokeLoader.

Campanha direcionada a usuários localizados na Polônia

Em 15 de julho, especialistas em segurança analisaram a terceira campanha da Kronos, que também empregava e-mails de spam mal-intencionados. Pessoas da Polônia receberam e-mails com faturas falsas nomeadas como “Faktura 2016.07.16.” O documento ofuscado continha o exploit CVE-2017-11882 “Equation Editor” para se infiltrar nos sistemas com o vírus Kronos.

As vítimas foram redirecionadas para hxxp: // mysit [.] space / 123 // v / 0jLHzUW que foi projetado para eliminar a carga útil do malware. A nota final dos especialistas é que esta campanha usou hxxp: // suzfjfguuis326qw [.] onion / kpanel / connect.php como seu C&C.

Kronos pode ser rebatizado como Osiris Trojan em 2018

Ao fazer uma introspecção nos mercados subterrâneos, os especialistas detectaram isso no momento em que a edição de 2018 do Kronos foi descoberto, um hacker anônimo estava promovendo um novo Trojan bancário chamado Osiris no hacking fóruns[5].

Existem algumas especulações e evidências circunstanciais sugerindo que esta nova versão do Kronos foi rebatizada de “Osíris” e está sendo vendida em mercados clandestinos.

Mesmo que os pesquisadores não possam confirmar esse fato, existem várias semelhanças entre os vírus:

  • O tamanho do Osiris Trojan é próximo ao malware Kronos (350 e 351 KB);
  • Ambos usam o navegador Tor;
  • A primeira amostra do cavalo de Tróia Kronos foi nomeada como os.exe, que pode se referir a Osiris.