Den nya versionen av Kronos Banking-trojanen har upptäckts
Forskare har upptäckt en ny variant av Kronos Banking-trojan i april 2018. Till en början var de inlämnade proverna bara tester. Men experter tittade närmare på när verkliga kampanjer har börjat sprida den trojanska hästen över världen.
Kronos-viruset upptäcktes första gången 2014 och har inte varit aktivt de senaste åren. Men återfödelsen har resulterat i mer än tre distinkta kampanjer som riktar sig till datoranvändare i Tyskland, Japan och Polen[1]. Likaså finns det en påtaglig risk att angriparna siktar på att få smittan att spridas över hela världen.
Enligt analysen är den mest märkbara nya funktionen hos Kronos Banking-trojan en uppdaterad Command-and-Control-server (C&C) som är designad för att fungera tillsammans med Tor-webbläsaren[2]. Denna funktion gör att brottslingarna kan förbli anonyma under attackerna.
Det speciella med Kronos distributionskampanjer
Säkerhetsforskare konstaterar att de har introspekterat fyra olika kampanjer sedan den 27 juni som har lett till installationen av Kronos malware. Fördelningen av banktrojanen hade sina egna särdrag som skilde sig åt i vart och ett av målländerna, inklusive Tyskland, Japan och Polen.
Kampanj riktad till tysktalande datoranvändare
Under tredagarsperioden från 27 juni till 30 juni upptäckte experter en malspamkampanj som användes för att sprida Kronos-viruset. Skadliga e-postmeddelanden innehöll ämnesraderna "Uppdaterar våra villkor." eller "Påminnelse: 9415166" och syftade till att infektera datorer hos 5 tyska finansinstituts användare[3].
Följande skadliga bilagor har lagts till i Kronos skräppostmeddelanden:
- agb_9415166.doc
- Mahnung_9415167.doc
Angripare används hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL som deras C&C-server. Spam-e-postmeddelanden innehöll Word-dokument med skadliga makron som om de aktiverades var programmerade att släppa Kronos banktrojan. Dessutom upptäcktes röklastare som ursprungligen är designade för att infiltrera systemet med ytterligare skadlig programvara.
Kampanj riktad mot personer från Japan
Attacker som utfördes den 15-16 juli syftade till att påverka datoranvändare i Japan. Den här gången riktade brottslingarna sig mot användare av 13 olika japanska finansinstitut med malvertisingkampanjer. Offren skickades till den misstänkta webbplatsen med skadliga JavaScript-koder som omdirigerade användare till Rig exploit-kit[4].
Hackare anställda hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php som deras C&C för Kronos distribution. Forskare beskriver attackens egenheter enligt följande:
Detta JavaScript omdirigerade offren till RIG-exploatsatsen, som distribuerade SmokeLoader-nedladdningsprogrammet.
Kampanj inriktad på användare i Polen
Den 15 juli analyserade säkerhetsexperter den tredje Kronos-kampanjen som också använde skadlig skräppost. Folk från Polen fick e-postmeddelanden med falska fakturor namngivna som “Faktura 2018.07.16.” Det fördunklade dokumentet innehöll CVE-2017-11882 "Equation Editor" för att infiltrera systemen med Kronos-virus.
Offren omdirigerades till hxxp://mysit[.]space/123//v/0jLHzUW som utformades för att minska nyttolasten av skadlig programvara. Den sista noteringen av experter är att denna kampanj används hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php som dess C&C.
Kronos kan döpas om till Osiris Trojan 2018
Vid introspektering av underjordiska marknader upptäckte experter det vid tidpunkten när Kronos 2018-utgåva upptäcktes, marknadsförde en anonym hackare en ny banktrojan vid namn Osiris på hackningen forum[5].
Det finns vissa spekulationer och indicier som tyder på att denna nya version av Kronos har bytt namn till "Osiris" och säljs på underjordiska marknader.
Även om forskare inte kan bekräfta detta faktum, finns det flera likheter mellan virusen:
- Storleken på Osiris Trojan är nära Kronos malware (350 och 351 KB);
- Båda använder Tor-webbläsaren;
- Det första exemplet av Kronos-trojanen hette os.exe, vilket kan referera till Osiris.