Откривена је нова верзија Кронос банковног тројанца
Истраживачи су открили нову варијанту Кронос банковног тројанца у априлу 2018. У почетку су достављени узорци били само тестови. Међутим, стручњаци су детаљније погледали када су кампање у стварном животу почеле да шире тројанског коња широм света.
Кронос вирус је први пут откривен 2014. године и није био активан последњих година. Међутим, поновно рођење је резултирало са више од три различите кампање које циљају на кориснике рачунара у Немачкој, Јапану и Пољској[1]. Исто тако, постоји значајан ризик да нападачи имају за циљ ширење инфекције широм света.
Према анализи, најуочљивија нова карактеристика Кронос Банкинг тројанца је ажурирани Цомманд-анд-Цонтрол (Ц&Ц) сервер који је дизајниран да ради заједно са Тор претраживачем[2]. Ова функција омогућава криминалцима да остану анонимни током напада.
Посебности Кронос дистрибутивних кампања
Истраживачи безбедности напомињу да су од 27. јуна извршили интроспекцију четири различите кампање које су довеле до инсталирања Кронос малвера. Дистрибуција банкарског тројанца имала је своје специфичности које су се разликовале у свакој од циљаних земаља, укључујући Немачку, Јапан и Пољску.
Кампања која циља кориснике рачунара који говоре немачки
У тродневном периоду од 27. до 30. јуна стручњаци су открили малспам кампању која је коришћена за ширење вируса Кронос. Злонамерне поруке е-поште садржавале су наслове „Ажурирање наших услова и одредби.“ или „Подсетник: 9415166“ и имао је за циљ да зарази рачунаре корисника 5 немачких финансијских институција[3].
Следећи злонамерни прилози су додати у Кронос нежељену е-пошту:
- агб_9415166.доц
- Махнунг_9415167.доц
Искоришћени су нападачи хккп://јхрппбнх4д674кзх[.]онион/кпанел/цоннецт.пхп УРЛ као њихов Ц&Ц сервер. Непожељне е-поруке су садржавале Ворд документе који су злонамерни макрои који су били програмирани да искључе Кронос банковни тројанац. Такође, откривени су димњаци који су првобитно дизајнирани да инфилтрирају систем додатним малвером.
Кампања која циља људе из Јапана
Напади изведени 15-16. јула имали су за циљ да утичу на кориснике рачунара у Јапану. Овога пута, криминалци су кампањама злонамерног рекламирања циљали кориснике 13 различитих јапанских финансијских институција. Жртве су послате на сумњиви сајт са злонамерним ЈаваСцрипт кодовима који су преусмеравали кориснике на комплет за коришћење Риг-а[4].
Запослени хакери хккп://јмјп2л7икгај5квв[.]онион/кпанел/цоннецт.пхп као њихова Ц&Ц за Кронос дистрибуцију. Истраживачи описују специфичности напада на следећи начин:
Овај ЈаваСцрипт је преусмерио жртве на комплет за експлоатацију РИГ-а, који је дистрибуирао злонамерни софтвер за преузимање СмокеЛоадер.
Кампања која циља кориснике који се налазе у Пољској
Стручњаци за безбедност су 15. јула анализирали трећу Кронос кампању која је користила и злонамерне нежељене е-поруке. Људи из Пољске су добијали мејлове са лажним фактурама под називом “Фактура 2018.07.16.” Замућени документ је садржао ЦВЕ-2017-11882 „Уређивач једначина“ експлоатацију за инфилтрирање у системе вирусом Кронос.
Жртве су преусмерене на хккп://мисит[.]спаце/123//в/0јЛХзУВ која је дизајнирана да одбаци терет злонамерног софтвера. Коначна напомена стручњака је да је ова кампања коришћена хккп://сузфјфгууис326кв[.]онион/кпанел/цоннецт.пхп као њен Ц&Ц.
Кронос би могао бити преименован у Осирис Тројанац 2018
Интроспекцијом подземних тржишта, стручњаци су то открили у време када је Кронос 2018. је откривен, анонимни хакер је промовисао новог банкарског тројанца по имену Озирис током хаковања форумима[5].
Постоје неке спекулације и посредни докази који сугеришу да је ова нова верзија Кроноса преименована у „Озирис“ и да се продаје на подземним тржиштима.
Иако истраживачи не могу да потврде ову чињеницу, постоји више сличности између вируса:
- Величина Тројанца Осирис је близу Кронос малвера (350 и 351 КБ);
- Оба користе претраживач Тор;
- Први узорак Кронос тројанца назван је ос.еке што би се могло односити на Озириса.