Виявлено нову версію банківського трояна Kronos
У квітні 2018 року дослідники виявили новий варіант банківського трояна Kronos. Спочатку надані зразки були лише тестами. Однак експерти придивилися ближче, коли реальні кампанії почали поширювати троянського коня по всьому світу.
Вірус Kronos вперше був виявлений у 2014 році і останні роки не був активним. Однак відродження призвело до більш ніж трьох окремих кампаній, які орієнтовані на користувачів комп’ютерів у Німеччині, Японії та Польщі.[1]. Крім того, існує значний ризик того, що зловмисники мають на меті розповсюдити інфекцію по всьому світу.
Згідно з аналізом, найпомітнішою новою функцією трояна Kronos Banking є оновлений сервер командно-управління (C&C), який призначений для спільної роботи з браузером Tor.[2]. Ця функція дозволяє зловмисникам залишатися анонімними під час атак.
Особливості розповсюджувальних кампаній Kronos
Дослідники безпеки відзначають, що з 27 червня вони перевірили чотири різні кампанії, які призвели до встановлення шкідливого програмного забезпечення Kronos. Поширення банківського трояна мало свої особливості, які відрізнялися в кожній із цільових країн, зокрема в Німеччині, Японії та Польщі.
Кампанія, націлена на німецькомовних користувачів комп’ютерів
Протягом трьох днів з 27 по 30 червня експерти виявили спам-кампанію, яка використовувалася для поширення вірусу Kronos. Шкідливі електронні листи містили рядки теми «Оновлення наших умов використання». або «Нагадування: 9415166» і мав на меті заразити комп’ютери 5 користувачів німецьких фінансових установ[3].
До спам-листів Kronos були додані такі шкідливі вкладення:
- agb_9415166.doc
- Mahnung_9415167.doc
Використані зловмисники hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL як сервер керування та керування. Спам-повідомлення містили документи Word, у яких шкідливі макроси були запрограмовані на видалення банківського трояна Kronos. Також були виявлені димозавантажувачі, які спочатку були розроблені для проникнення в систему додаткових шкідливих програм.
Кампанія, націлена на людей з Японії
Атаки, здійснені 15-16 липня, мали на меті вплинути на користувачів комп’ютерів у Японії. Цього разу зловмисники націлювали на користувачів 13 різних японських фінансових установ за допомогою зловмисних кампаній. Жертви були відправлені на підозрілий сайт зі шкідливими кодами JavaScript, які перенаправляли користувачів на набір експлойтів Rig[4].
Задіяні хакери hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php як їх C&C для дистрибуції Kronos. Дослідники описують особливості атаки так:
Цей JavaScript перенаправляв жертв на набір експлойтів RIG, який поширював шкідливе програмне забезпечення для завантаження SmokeLoader.
Кампанія, націлена на користувачів у Польщі
15 липня експерти з безпеки проаналізували третю кампанію Kronos, яка також використовувала шкідливий спам. Люди з Польщі отримували електронні листи з підробленими рахунками-фактурами на ім’я «Фактура 2018.07.16». Заплутаний документ містив експлойт CVE-2017-11882 «Редактор рівнянь» для проникнення в системи вірусу Kronos.
Потерпілих було перенаправлено до hxxp://mysit[.]space/123//v/0jLHzUW який був розроблений для видалення корисного навантаження зловмисного програмного забезпечення. Останнє зауваження експертів полягає в тому, що ця кампанія використана hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php як його C&C.
У 2018 році Kronos може бути перейменований на Osiris Trojan
Перевіряючи підпільні ринки, експерти виявили, що під час випуску Kronos 2018 було виявлено, що анонімний хакер рекламував новий банківський троян на ім'я Osiris під час злому форуми[5].
Існують деякі припущення та непрямі докази, які свідчать про те, що ця нова версія Kronos була перейменована на «Осіріс» і продається на підземних ринках.
Незважаючи на те, що дослідники не можуть підтвердити цей факт, існує багато подібностей між вірусами:
- Розмір трояна Osiris близький до шкідливого програмного забезпечення Kronos (350 і 351 КБ);
- Обидва використовують браузер Tor;
- Перший зразок трояна Kronos був названий os.exe, що може посилатися на Osiris.