Comeback: โทรจัน Kronos Banking ปรากฏขึ้นอีกครั้งในไซเบอร์สเปซ

พบโทรจัน Kronos Banking เวอร์ชันใหม่แล้ว

การกลับมาของ Kronos Banking โทรจันนักวิจัยตรวจพบ Kronos 2018 รุ่นใหม่ซึ่งมีแคมเปญที่แตกต่างกัน 3 แคมเปญและกำหนดเป้าหมายไปที่ผู้คนจากเยอรมนี ญี่ปุ่น และโปแลนด์

นักวิจัยได้ค้นพบรูปแบบใหม่ของโทรจัน Kronos Banking ในเดือนเมษายน 2018 ในตอนแรก ตัวอย่างที่ส่งมาเป็นเพียงการทดสอบเท่านั้น แม้ว่าผู้เชี่ยวชาญจะพิจารณาอย่างใกล้ชิดเมื่อแคมเปญในชีวิตจริงเริ่มแพร่กระจายม้าโทรจันไปทั่วโลก

ไวรัส Kronos ถูกค้นพบครั้งแรกในปี 2014 และไม่ได้ใช้งานในช่วงไม่กี่ปีที่ผ่านมา อย่างไรก็ตาม การเกิดใหม่ได้ส่งผลให้เกิดแคมเปญที่แตกต่างกันมากกว่าสามแคมเปญ ซึ่งกำหนดเป้าหมายไปยังผู้ใช้คอมพิวเตอร์ในเยอรมนี ญี่ปุ่น และโปแลนด์[1]. ในทำนองเดียวกัน มีความเสี่ยงอย่างมากที่ผู้โจมตีตั้งเป้าที่จะทำให้การติดเชื้อแพร่กระจายไปทั่วโลก

จากการวิเคราะห์ คุณลักษณะใหม่ที่เห็นได้ชัดที่สุดของโทรจัน Kronos Banking คือเซิร์ฟเวอร์ Command-and-Control (C&C) ที่อัปเดตซึ่งออกแบบมาเพื่อทำงานร่วมกับเบราว์เซอร์ Tor[2]. คุณลักษณะนี้ช่วยให้อาชญากรไม่เปิดเผยตัวในระหว่างการโจมตี

ลักษณะเฉพาะของแคมเปญการจัดจำหน่าย Kronos

นักวิจัยด้านความปลอดภัยสังเกตว่าพวกเขาได้ไตร่ตรองถึงสี่แคมเปญที่แตกต่างกันตั้งแต่วันที่ 27 มิถุนายน ซึ่งนำไปสู่การติดตั้งมัลแวร์ Kronos การกระจายของโทรจันธนาคารมีลักษณะเฉพาะแตกต่างกันไปในแต่ละประเทศเป้าหมาย รวมถึงเยอรมนี ญี่ปุ่น และโปแลนด์

แคมเปญที่กำหนดเป้าหมายผู้ใช้คอมพิวเตอร์ที่ใช้ภาษาเยอรมัน

ในช่วงระยะเวลาสามวันตั้งแต่วันที่ 27 มิถุนายน ถึง 30 มิถุนายน ผู้เชี่ยวชาญได้ค้นพบการรณรงค์เกี่ยวกับสแปมซึ่งใช้ในการแพร่ไวรัสโครโนส อีเมลที่เป็นอันตรายมีหัวเรื่อง “กำลังปรับปรุงข้อกำหนดและเงื่อนไขของเรา” หรือ “คำเตือน: 9415166” และมุ่งที่จะแพร่ระบาดในคอมพิวเตอร์ของผู้ใช้สถาบันการเงินในเยอรมนี 5 ราย[3].

สิ่งที่แนบมาที่เป็นอันตรายต่อไปนี้ถูกผนวกเข้ากับอีเมลขยะของ Kronos:

  • agb_9415166.doc
  • Mahnung_9415167.doc

ผู้โจมตีใช้ hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL เป็นเซิร์ฟเวอร์ C&C อีเมลขยะมีเอกสาร Word ซึ่งเป็นมาโครที่เป็นอันตรายซึ่งหากเปิดใช้งานจะถูกตั้งโปรแกรมให้วางโทรจัน Kronos Banking นอกจากนี้ยังมีการตรวจพบเครื่องดูดควันซึ่งเริ่มแรกออกแบบมาเพื่อแทรกซึมระบบด้วยมัลแวร์เพิ่มเติม

แคมเปญที่กำหนดเป้าหมายผู้คนจากประเทศญี่ปุ่น

การโจมตีในวันที่ 15-16 กรกฎาคมมีเป้าหมายที่จะส่งผลกระทบต่อผู้ใช้คอมพิวเตอร์ในญี่ปุ่น ครั้งนี้ อาชญากรมุ่งเป้าไปที่ผู้ใช้สถาบันการเงินของญี่ปุ่น 13 แห่งด้วยแคมเปญโฆษณามัลแวร์ เหยื่อถูกส่งไปยังไซต์ที่น่าสงสัยด้วยรหัส JavaScript ที่เป็นอันตรายซึ่งเปลี่ยนเส้นทางผู้ใช้ไปยัง Rig Exploit kit[4].

แฮกเกอร์เป็นลูกจ้าง hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php เป็น C&C สำหรับการกระจาย Kronos นักวิจัยอธิบายลักษณะเฉพาะของการโจมตีดังนี้:

JavaScript นี้เปลี่ยนเส้นทางเหยื่อไปยัง RIG Exploit Kit ซึ่งกำลังแจกจ่ายมัลแวร์ตัวดาวน์โหลด SmokeLoader

แคมเปญที่กำหนดเป้าหมายผู้ใช้ที่อยู่ในโปแลนด์

เมื่อวันที่ 15 กรกฎาคม ผู้เชี่ยวชาญด้านความปลอดภัยได้วิเคราะห์แคมเปญ Kronos ครั้งที่ 3 ซึ่งใช้อีเมลขยะที่เป็นอันตรายเช่นกัน ผู้คนจากโปแลนด์ได้รับอีเมลพร้อมใบแจ้งหนี้ปลอมที่ชื่อว่า “แฟคทูร่า 2018.07.16” เอกสารที่ทำให้งงงวยมี CVE-2017-11882 “Equation Editor” เจาะระบบเพื่อแทรกซึมเข้าไปในระบบด้วยไวรัส Kronos

เหยื่อถูกเปลี่ยนเส้นทางไปที่ hxxp://mysit[.]space/123//v/0jLHzUW ซึ่งได้รับการออกแบบมาเพื่อวางเพย์โหลดของมัลแวร์ หมายเหตุสุดท้ายโดยผู้เชี่ยวชาญคือแคมเปญนี้ใช้ hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php เป็น C&C

Kronos อาจเปลี่ยนชื่อเป็น Osiris Trojan ในปี 2018

ขณะสำรวจตลาดใต้ดินผู้เชี่ยวชาญตรวจพบว่าในขณะที่รุ่น Kronos 2018 ถูกค้นพบ แฮ็กเกอร์นิรนามกำลังส่งเสริมโทรจันธนาคารใหม่ชื่อโอซิริสในการแฮ็ค ฟอรั่ม[5].

มีการเก็งกำไรและหลักฐานตามสถานการณ์ที่บ่งชี้ว่า Kronos เวอร์ชันใหม่นี้ได้รับการรีแบรนด์ "Osiris" และกำลังขายในตลาดใต้ดิน

แม้ว่านักวิจัยจะไม่สามารถยืนยันข้อเท็จจริงนี้ได้ แต่ก็มีความคล้ายคลึงกันหลายประการระหว่างไวรัส:

  • ขนาดของ Osiris Trojan นั้นใกล้เคียงกับมัลแวร์ Kronos (350 และ 351 KB);
  • ทั้งสองใช้เบราว์เซอร์ของ Tor;
  • ตัวอย่างแรกของ Kronos trojan มีชื่อว่า os.exe ซึ่งอาจหมายถึง Osiris