Noua versiune a troianului Kronos Banking a fost descoperită
Cercetătorii au descoperit o nouă variantă a troianului Kronos Banking în aprilie 2018. La început, mostrele prezentate au fost doar teste. Deși, experții s-au uitat mai atent odată ce campaniile din viața reală au început să răspândească calul troian în întreaga lume.
Virusul Kronos a fost descoperit pentru prima dată în 2014 și nu a fost activ în ultimii ani. Cu toate acestea, renașterea a dus la mai mult de trei campanii distincte care vizează utilizatorii de computere din Germania, Japonia și Polonia.[1]. De asemenea, există un risc substanțial ca atacatorii să urmărească să facă infecția să se răspândească în întreaga lume.
Conform analizei, cea mai vizibilă nouă caracteristică a troianului Kronos Banking este un server de comandă și control (C&C) actualizat, care este proiectat să funcționeze împreună cu browserul Tor.
[2]. Această caracteristică permite infractorilor să rămână anonimi în timpul atacurilor.Particularitățile campaniilor de distribuție Kronos
Cercetătorii în domeniul securității notează că au introspectat patru campanii diferite începând cu 27 iunie, care au dus la instalarea malware-ului Kronos. Distribuția troianului bancar avea propriile sale particularități, care diferă în fiecare dintre țările vizate, inclusiv Germania, Japonia și Polonia.
Campanie care vizează utilizatorii de computere vorbitoare de germană
În perioada de trei zile, de la 27 iunie până la 30 iunie, experții au descoperit o campanie de malspam care a fost folosită pentru a răspândi virusul Kronos. E-mailurile rău intenționate conțineau rândurile de subiect „Actualizarea termenilor și condițiilor noastre.” sau „Memento: 9415166” și a avut ca scop infectarea computerelor a 5 utilizatori ai instituțiilor financiare germane[3].
Următoarele atașamente rău intenționate au fost atașate în e-mailurile de spam Kronos:
- agb_9415166.doc
- Mahnung_9415167.doc
Atacatorii folosiți hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL ca server C&C. E-mailurile de tip spam conțineau documente Word, macrocomenzi periculoase care, dacă erau activate, erau programate pentru a elimina troianul bancar Kronos. De asemenea, au fost detectate încărcătoare de fum care sunt proiectate inițial să se infiltreze în sistem cu programe malware suplimentare.
Campanie care vizează persoane din Japonia
Atacurile efectuate în perioada 15-16 iulie urmăreau să afecteze utilizatorii de computere din Japonia. De această dată, infractorii au vizat utilizatorii a 13 instituții financiare japoneze diferite cu campanii de malvertising. Victimele au fost trimise pe site-ul suspect cu coduri JavaScript rău intenționate care redirecționau utilizatorii către kitul de exploatare Rig[4].
Hackeri angajați hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php ca C&C pentru distribuția Kronos. Cercetătorii descriu particularitățile atacului după cum urmează:
Acest JavaScript a redirecționat victimele către kitul de exploatare RIG, care distribuia programul malware pentru descărcarea SmokeLoader.
Campanie care vizează utilizatorii aflați în Polonia
Pe 15 iulie, experții în securitate au analizat a treia campanie Kronos, care a folosit și e-mailuri de spam rău intenționate. Oameni din Polonia au primit e-mailuri cu facturi false numite ca „Faktura 2018.07.16.” Documentul ascuns conținea exploatare CVE-2017-11882 „Equation Editor” pentru a infiltra sistemele cu virusul Kronos.
Victimele au fost redirecționate către hxxp://mysit[.]space/123//v/0jLHzUW care a fost conceput pentru a elimina sarcina utilă a malware-ului. Nota finală a experților este că această campanie a folosit hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php ca C&C.
Kronos ar putea fi redenumit Troian Osiris în 2018
În timp ce introspectau piețele subterane, experții au detectat asta în momentul în care ediția Kronos 2018 a fost descoperit, un hacker anonim promova un nou troian bancar numit Osiris pe piratare forumuri[5].
Există unele speculații și dovezi circumstanțiale care sugerează că această nouă versiune de Kronos a fost renumită „Osiris” și este vândută pe piețele subterane.
Chiar dacă cercetătorii nu pot confirma acest fapt, există mai multe asemănări între viruși:
- Dimensiunea troianului Osiris este apropiată de programul malware Kronos (350 și 351 KB);
- Ambele folosesc browserul Tor;
- Prima mostră de troian Kronos a fost numită os.exe, care ar putea face referire la Osiris.