Kronos Banking truva atının yeni versiyonu keşfedildi
Araştırmacılar, Nisan 2018'de Kronos Banking truva atının yeni bir çeşidini keşfettiler. İlk başta, gönderilen numuneler yalnızca testlerdi. Bununla birlikte, Truva atını dünyaya yaymaya başlayan gerçek hayattaki kampanyalar başladığında uzmanlar daha yakından baktılar.
Kronos virüsü ilk olarak 2014 yılında keşfedilmiştir ve son yıllarda aktif değildir. Ancak yeniden doğuş, Almanya, Japonya ve Polonya'daki bilgisayar kullanıcılarını hedefleyen üçten fazla farklı kampanyayla sonuçlandı.[1]. Aynı şekilde, saldırganların enfeksiyonu dünya çapında yaymayı amaçladığı yönünde önemli bir risk vardır.
Analize göre, Kronos Banking trojanının en göze çarpan yeni özelliği, Tor tarayıcı ile birlikte çalışacak şekilde tasarlanmış güncellenmiş bir Komuta ve Kontrol (C&C) sunucusudur.[2]. Bu özellik, saldırılar sırasında suçluların anonim kalmasını sağlar.
Kronos dağıtım kampanyalarının özellikleri
Güvenlik araştırmacıları, 27 Haziran'dan bu yana Kronos kötü amaçlı yazılımının yüklenmesine yol açan dört farklı kampanyayı iç gözlemlediklerini belirtiyorlar. Bankacılık Truva Atı'nın dağılımı, Almanya, Japonya ve Polonya dahil olmak üzere hedeflenen ülkelerin her birinde farklılık gösteren kendi özelliklerine sahipti.
Almanca konuşan bilgisayar kullanıcılarını hedefleyen kampanya
27 Haziran ile 30 Haziran arasındaki üç günlük süre boyunca uzmanlar, Kronos virüsünü yaymak için kullanılan bir kötü amaçlı spam kampanyası keşfetti. Kötü amaçlı e-postalar konu satırlarını içeriyordu "Şartlar ve koşullarımız güncelleniyor." veya "Hatırlatma: 9415166" ve 5 Alman finans kuruluşunun kullanıcılarının bilgisayarlarına bulaşmayı amaçladı[3].
Kronos spam e-postalarına aşağıdaki kötü amaçlı ekler eklendi:
- agb_9415166.doc
- Mahnung_9415167.doc
Saldırganlar kullanıldı hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php C&C sunucusu olarak URL. İstenmeyen e-postalar, etkinleştirildiğinde Kronos bankacılık Truva atını bırakmak üzere programlanan kötü amaçlı makroları içeren Word belgeleri içeriyordu. Ayrıca, başlangıçta sisteme ek kötü amaçlı yazılımlarla sızmak için tasarlanmış duman yükleyicileri de tespit edildi.
Japonya'dan insanları hedefleyen kampanya
15-16 Temmuz tarihlerinde gerçekleştirilen saldırılar Japonya'daki bilgisayar kullanıcılarını etkilemeyi amaçlıyordu. Bu kez suçlular, kötü amaçlı reklam kampanyalarıyla 13 farklı Japon finans kuruluşunun kullanıcılarını hedef aldı. Kurbanlar, kullanıcıları Rig istismar kitine yönlendiren kötü amaçlı JavaScript kodlarıyla şüpheli siteye gönderildi.[4].
Çalışan bilgisayar korsanları hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php Kronos dağıtımı için C&C olarak. Araştırmacılar saldırının özelliklerini şu şekilde açıklıyor:
Bu JavaScript, kurbanları SmokeLoader indirici kötü amaçlı yazılımını dağıtan RIG istismar kitine yönlendirdi.
Polonya'da bulunan kullanıcıları hedefleyen kampanya
15 Temmuz'da güvenlik uzmanları, kötü niyetli spam e-postaları da kullanan üçüncü Kronos kampanyasını analiz etti. Polonya'dan insanlar, şu adla sahte faturalar içeren e-postalar aldı: “Faktura 2018.07.16.” Gizlenmiş belge, sistemlere Kronos virüsü sızmak için CVE-2017-11882 “Denklem Düzenleyici” istismarını içeriyordu.
Kurbanlar yönlendirildi hxxp://mysit[.]space/123//v/0jLHzUW kötü amaçlı yazılımın yükünü düşürmek için tasarlanmıştır. Uzmanların son notu, bu kampanyanın hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php C&C'si olarak.
Kronos, 2018'de Osiris Trojan olarak yeniden adlandırılabilir
Uzmanlar, yeraltı pazarlarını incelerken, o sırada Kronos 2018 baskısının Keşfedildi, anonim bir bilgisayar korsanı, bilgisayar korsanlığı konusunda Osiris adlı yeni bir bankacılık Truva atını tanıtıyordu. forumlar[5].
Kronos'un bu yeni versiyonunun "Osiris" olarak yeniden adlandırıldığını ve yeraltı pazarlarında satıldığını gösteren bazı spekülasyonlar ve ikinci derece kanıtlar var.
Araştırmacılar bu gerçeği doğrulayamasa da virüsler arasında birçok benzerlik var:
- Osiris Trojan'ın boyutu Kronos kötü amaçlı yazılımına yakındır (350 ve 351 KB);
- Her ikisi de Tor tarayıcı kullanır;
- Kronos trojanının ilk örneği, Osiris'e atıfta bulunabilecek os.exe olarak adlandırıldı.