Возвращение: троян Kronos Banking снова появляется в киберпространстве

РазноеDec 20, 2021

Обнаружена новая версия трояна Kronos Banking

Возвращение банковского трояна KronosИсследователи обнаружили новую версию Kronos 2018, в которой задействованы 3 отдельные кампании и нацелены на людей из Германии, Японии и Польши.

В апреле 2018 года исследователи обнаружили новый вариант трояна Kronos Banking. Поначалу представленные образцы были просто тестовыми. Тем не менее, эксперты внимательно присмотрелись, как только реальные кампании начали распространять троянского коня по всему миру.

Вирус Kronos был впервые обнаружен в 2014 году и в последние годы не проявлял активности. Однако возрождение привело к более чем трем отдельным кампаниям, ориентированным на пользователей компьютеров в Германии, Японии и Польше.[1]. Точно так же существует значительный риск того, что злоумышленники стремятся распространить инфекцию по всему миру.

Согласно анализу, наиболее заметной новой особенностью трояна Kronos Banking является обновленный сервер Command-and-Control (C&C), который предназначен для совместной работы с браузером Tor.[2]. Эта функция позволяет преступникам оставаться анонимными во время атак.

Особенности дистрибьюторских кампаний Kronos

Исследователи безопасности отмечают, что с 27 июня они проанализировали четыре различных кампании, которые привели к установке вредоносного ПО Kronos. Распространение банковского троянца имело свои особенности, различающиеся в каждой из стран-мишеней, включая Германию, Японию и Польшу.

Кампания, ориентированная на немецкоязычных пользователей компьютеров

В течение трехдневного периода с 27 по 30 июня эксперты обнаружили кампанию вредоносного спама, которая использовалась для распространения вируса Kronos. Вредоносные электронные письма содержали строки темы «Обновление наших условий». или «Напоминание: 9415166» и направлена ​​на заражение компьютеров пользователей 5 немецких финансовых учреждений.[3].

К спам-письмам Kronos были прикреплены следующие вредоносные вложения:

  • agb_9415166.doc
  • Mahnung_9415167.doc

Злоумышленники использовали hxxp: // jhrppbnh4d674kzh [.] лук / kpanel / connect.php URL в качестве их C&C сервера. Спам-сообщения содержали документы Word, в которых вредоносные макросы, если их включить, были запрограммированы на удаление банковского трояна Kronos. Также были обнаружены дымовые загрузчики, изначально предназначенные для проникновения в систему дополнительных вредоносных программ.

Кампания с таргетингом на жителей Японии

Атаки, совершенные 15-16 июля, были направлены на пользователей компьютеров в Японии. На этот раз злоумышленники нацелились на пользователей 13 различных японских финансовых учреждений с помощью кампаний вредоносной рекламы. Жертвы отправлялись на подозрительный сайт с вредоносными кодами JavaScript, которые перенаправляли пользователей на набор эксплойтов Rig.[4].

Хакеры наняты hxxp: // jmjp2l7yqgaj5xvv [.] лук / kpanel / connect.php как их C&C для распространения Kronos. Исследователи описывают особенности атаки следующим образом:

Этот JavaScript перенаправлял жертв на комплект эксплойтов RIG, который распространял вредоносную программу-загрузчик SmokeLoader.

Кампания с таргетингом на пользователей из Польши

15 июля эксперты по безопасности проанализировали третью кампанию Kronos, в которой также использовался вредоносный спам. Жители Польши получали электронные письма с фальшивыми счетами с названием «Фактура 2018.07.16.» Обфусцированный документ содержал уязвимость CVE-2017-11882 «Equation Editor» для проникновения в систему вируса Kronos.

Жертв перенаправляли на hxxp: // mysit [.] space / 123 // v / 0jLHzUW который был разработан, чтобы удалить полезную нагрузку вредоносного ПО. Последнее замечание экспертов заключается в том, что в этой кампании использовались hxxp: // suzfjfguuis326qw [.] лук / kpanel / connect.php как его C&C.

Kronos может быть переименован в троян Osiris в 2018 году

Изучая подпольные рынки, эксперты обнаружили, что в то время, когда издание Kronos 2018 был обнаружен, анонимный хакер продвигал на взломе нового банковского трояна по имени Osiris. форумы[5].

Существуют некоторые предположения и косвенные доказательства того, что эта новая версия Kronos была переименована в Osiris и продается на подпольных рынках.

Хотя исследователи не могут подтвердить этот факт, между вирусами есть много общего:

  • По размеру троян Osiris близок к вредоносному ПО Kronos (350 и 351 КБ);
  • Оба используют браузер Tor;
  • Первый образец трояна Kronos назывался os.exe, что могло относиться к Osiris.