Bola objavená nová verzia Kronos Banking trójskeho koňa
Výskumníci objavili nový variant trójskeho koňa Kronos Banking v apríli 2018. Predložené vzorky boli najskôr len testy. Odborníci sa však na to pozreli bližšie, keď kampane v reálnom živote začali šíriť trójskeho koňa po celom svete.
Vírus Kronos bol prvýkrát objavený v roku 2014 a v posledných rokoch nebol aktívny. Znovuzrodenie však vyústilo do viac ako troch odlišných kampaní, ktoré sa zameriavajú na používateľov počítačov v Nemecku, Japonsku a Poľsku.[1]. Rovnako tak existuje značné riziko, že cieľom útočníkov je, aby sa infekcia rozšírila po celom svete.
Podľa analýzy je najvýraznejšou novinkou trojanu Kronos Banking aktualizovaný server Command-and-Control (C&C), ktorý je navrhnutý tak, aby spolupracoval s prehliadačom Tor.[2]. Táto funkcia umožňuje zločincom zostať počas útokov v anonymite.
Zvláštnosti distribučných kampaní Kronos
Bezpečnostní výskumníci poznamenávajú, že od 27. júna skúmali štyri rôzne kampane, ktoré viedli k inštalácii škodlivého softvéru Kronos. Distribúcia bankového trójskeho koňa mala svoje osobitosti, ktoré sa líšili v každej z cieľových krajín vrátane Nemecka, Japonska a Poľska.
Kampaň zameraná na nemecky hovoriacich používateľov počítačov
Počas trojdňového obdobia od 27. júna do 30. júna odborníci odhalili malspamovú kampaň, ktorá bola použitá na šírenie vírusu Kronos. Škodlivé e-maily obsahovali predmet "Aktualizujeme naše zmluvné podmienky." alebo "Pripomienka: 9415166" a jeho cieľom bolo infikovať počítače 5 používateľov nemeckých finančných inštitúcií[3].
K spamovým e-mailom Kronos boli pridané nasledujúce škodlivé prílohy:
- agb_9415166.doc
- Mahnung_9415167.doc
Využití útočníci hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL ako ich C&C server. Spamové e-maily obsahovali dokumenty programu Word, ktorých škodlivé makrá, ak boli povolené, boli naprogramované tak, aby odstránili bankového trójskeho koňa Kronos. Boli tiež zistené dymové nakladače, ktoré boli pôvodne navrhnuté tak, aby infiltrovali systém ďalším škodlivým softvérom.
Kampaň zacielená na ľudí z Japonska
Cieľom útokov uskutočnených 15. až 16. júla bolo zasiahnuť používateľov počítačov v Japonsku. Tentoraz sa zločinci zamerali na používateľov 13 rôznych japonských finančných inštitúcií so škodlivými kampaňami. Obete boli odoslané na podozrivú stránku so škodlivým kódom JavaScript, ktorý používateľov presmeroval na súpravu Rig exploit kit[4].
Hackeri zamestnaní hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php ako ich C&C pre distribúciu Kronos. Vedci opisujú zvláštnosti útoku takto:
Tento JavaScript presmeroval obete na exploit kit RIG, ktorý distribuoval malvér na stiahnutie SmokeLoader.
Kampaň zacielená na používateľov v Poľsku
15. júla odborníci na bezpečnosť analyzovali tretiu kampaň Kronos, ktorá tiež využívala škodlivé spamové e-maily. Ľudia z Poľska dostali e-maily s falošnými faktúrami s názvom ako "Faktura 2018.07.16." Zahmlený dokument obsahoval zneužitie CVE-2017-11882 „Equation Editor“ na infiltráciu systémov vírusom Kronos.
Obete boli presmerované na hxxp://mysit[.]medzera/123//v/0jLHzUW ktorý bol navrhnutý tak, aby znížil užitočné zaťaženie škodlivého softvéru. Záverečná poznámka odborníkov je, že táto kampaň používa hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php ako jeho C&C.
Kronos môže byť v roku 2018 premenovaný na Osiris Trojan
Pri introspekcii podzemných trhov to odborníci zistili v čase vydania Kronos 2018 Ak bol objavený, anonymný hacker propagoval nový bankový trójsky kôň menom Osiris na hacking fóra[5].
Existujú nejaké špekulácie a nepriame dôkazy naznačujúce, že táto nová verzia Kronos bola premenovaná na „Osiris“ a predáva sa na podzemných trhoch.
Aj keď výskumníci nemôžu potvrdiť túto skutočnosť, medzi vírusmi existuje viacero podobností:
- Veľkosť trójskeho koňa Osiris je blízka malvéru Kronos (350 a 351 kB);
- Obaja používajú prehliadač Tor;
- Prvá vzorka trójskeho koňa Kronos bola pomenovaná ako os.exe, čo by mohlo odkazovať na Osiris.