Odkrita je bila nova različica bančnega trojanca Kronos
Raziskovalci so aprila 2018 odkrili novo različico trojanca Kronos Banking. Sprva so bili predloženi vzorci zgolj testi. Čeprav so strokovnjaki podrobneje pogledali, ko so resnične kampanje začele širiti trojanskega konja po vsem svetu.
Virus Kronos je bil prvič odkrit leta 2014 in v zadnjih letih ni bil aktiven. Vendar pa je ponovno rojstvo povzročilo več kot tri različne kampanje, ki ciljajo na uporabnike računalnikov v Nemčiji, na Japonskem in na Poljskem.[1]. Prav tako obstaja veliko tveganje, da si napadalci prizadevajo, da bi se okužba razširila po vsem svetu.
Glede na analizo je najbolj opazna novost trojanca Kronos Banking posodobljen strežnik Command-and-Control (C&C), ki je zasnovan tako, da deluje skupaj z brskalnikom Tor.[2]. Ta funkcija omogoča kriminalcem, da ostanejo anonimni med napadi.
Posebnosti distribucijskih akcij Kronos
Varnostni raziskovalci ugotavljajo, da so od 27. junija pregledali štiri različne kampanje, ki so privedle do namestitve zlonamerne programske opreme Kronos. Porazdelitev bančnega trojana je imela svoje posebnosti, ki so se razlikovale v vsaki od ciljnih držav, vključno z Nemčijo, Japonsko in Poljsko.
Oglaševalska akcija, ki cilja na nemško govoreče uporabnike računalnikov
V tridnevnem obdobju od 27. do 30. junija so strokovnjaki odkrili akcijo malspam, ki je bila uporabljena za širjenje virusa Kronos. Zlonamerna e-poštna sporočila so vsebovala vrstice z zadevo "Posodobitev naših pogojev." oz “Opomnik: 9415166” in je bil namenjen okužitvi računalnikov 5 uporabnikov nemških finančnih institucij[3].
V neželeno pošto Kronos so bile dodane naslednje zlonamerne priloge:
- agb_9415166.doc
- Mahnung_9415167.doc
Uporabljeni napadalci hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL kot njihov strežnik C&C. Neželena e-poštna sporočila so vsebovala Wordove dokumente, ki so bili zlonamerni makri, ki so bili, če bi bili omogočeni, programirani, da izbrišejo bančni trojanec Kronos. Prav tako so bili odkriti dimni nakladalci, ki so bili prvotno zasnovani za infiltriranje v sistem z dodatno zlonamerno programsko opremo.
Kampanja, ki cilja na ljudi iz Japonske
Napadi, izvedeni od 15. do 16. julija, so želeli vplivati na uporabnike računalnikov na Japonskem. Tokrat so kriminalci z zlorabnimi kampanjami ciljali na uporabnike 13 različnih japonskih finančnih institucij. Žrtve so bile poslane na sumljivo spletno mesto z zlonamernimi kodami JavaScript, ki so uporabnike preusmerile na komplet za izkoriščanje Rig[4].
Zaposleni hekerji hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php kot njihova C&C za distribucijo Kronos. Raziskovalci opisujejo posebnosti napada na naslednji način:
Ta JavaScript je žrtve preusmeril na komplet za izkoriščanje RIG, ki je distribuiral zlonamerno programsko opremo za prenos SmokeLoader.
Oglaševalska akcija, ki cilja na uporabnike na Poljskem
Varnostni strokovnjaki so 15. julija analizirali tretjo Kronosovo kampanjo, ki je uporabljala tudi zlonamerno neželeno pošto. Ljudje s Poljske so prejeli e-pošto s ponarejenimi računi z imenom “Faktura 2018.07.16.” Zakrit dokument je vseboval izkoriščanje »Urejevalnika enačb« CVE-2017-11882 za infiltracijo v sisteme z virusom Kronos.
Žrtve so preusmerili na hxxp://mysit[.]space/123//v/0jLHzUW ki je bil zasnovan tako, da odstrani koristne obremenitve zlonamerne programske opreme. Končna opomba strokovnjakov je, da je ta kampanja uporabljena hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php kot njegov C&C.
Kronos bi lahko leta 2018 preimenoval v Trojan Osiris
Med pregledovanjem podzemnih trgov so strokovnjaki zaznali, da je v času, ko je bila izdaja Kronos 2018 je bil odkrit, anonimni heker je v hekerju promoviral novega bančnega trojanca z imenom Osiris forumih[5].
Obstaja nekaj špekulacij in posrednih dokazov, ki kažejo, da je bila ta nova različica Kronosa preimenovana v "Oziris" in se prodaja na podzemnih trgih.
Čeprav raziskovalci tega dejstva ne morejo potrditi, obstaja več podobnosti med virusi:
- Velikost Trojanca Osiris je blizu zlonamerne programske opreme Kronos (350 in 351 KB);
- Oba uporabljata brskalnik Tor;
- Prvi vzorec trojanca Kronos je bil imenovan os.exe, kar bi se lahko nanašalo na Ozirisa.