据行业刊物Threatpost报道,在沉寂了多年之后,曾今在黑市名声大噪的Kronos银行木马再次回归。黑客对它的底层代码进行了重新设计,并正积极地将目标对准位于德国、日本和波兰的受害者。
根据网络安全公司Proofpoint的研究人员在本周二公布的一份调查报告显示,最新版本的Kronos采用了一种新的方法来建立与命令和控制(C2)服务器的通信,这涉及到Tor匿名网络的使用。
Proofpoint的研究人员认为,黑客对Kronos的重新设计不仅仅限于代码和C2通信方面,而且还可能已经赋予了它一个新的命名——Osiris,而这个命名与目前正在黑市上被一些网络犯罪分子销售的一个木马所使用的命名完全相同。
“虽然有大量证据表明这种恶意软件就是Kronos的新版本或变种,但也有一些间接证据表明它已经被重新命名,并被作为Osiris银行木马出售。”Proofpoint在起报告中指出。这个名字命名似乎很合适,因为Osiris(奥西里斯)正是古埃及神话中的冥王,一位反复重生的神。
研究人员表示,自6月27日以来,他们发现了四起携带不同恶意文件的活动,但最终都会导致Kronos/Osiris木马被下载。
Kronos银行木马最初于2014年被发现,并迅速成为一个成熟的恶意软件,能够窃取凭证并通过网络注入到银行网站。该木马还包含了一个Ring3 rootkit,用于对抗其他木马。但在2016年,这个名噪一时的银行木马却突然消失在了研究人员的视线中。
在2017年,当美国联邦调查局指控在WannaCry事件中发现了kill-switch,从而阻止了全球10万多台计算机免遭该勒索软件感染的Marcus Hutchins就是Kronos的创建者时,这个银行木马再次成为了头条新闻,但它仍然只在极少数的攻击活动中被使用。
现在,这个木马最近出现在了针对德国金融公司客户的恶意垃圾电子邮件活动中。在这些活动中,恶意软件样本使用http://jhrppbnh4d674kzh[.]onion/kpanel/connect.php作为它的C2服务器。
Word文档包含恶意宏,如果启用,可以下载并执行Kronos银行木马的新变种。在某些情况下,攻击使用了Smoke Loader。它通常被用于下载其他恶意软件,在这些活动中,它的任务是下载Kronos木马。
针对日本的攻击活动发生在7月15日至16日期间,基于恶意广告。“我们调查了一个恶意链接,它会将受害者引导至一个包含有恶意JavaScript注入的网站。” Proofpoint的研究人员说,“这个JavaScript将受害者重定向到RIG漏洞利用工具包,目的在于传播用于下载Kronos的Smoke Loader。”
针对波兰的攻击活动发生在7月15日和16日,黑客使用了带有恶意和虚假发票附件的电子邮件。在这起活动中,攻击者意图使用附件来利用在去年被修复的Microsoft Equation Editor漏洞(CVE-2017-11882)。
Proofpoint在7月20日观察到了第四起正在进行中的活动,黑客意图利用英语音乐流媒体网站来吸引受害者。
“我们尚不清楚这起活动的确切攻击向量,但可以确定的是,这个Kronos样本被配置为使用hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect作为它的C2服务器。”研究人员指出,“恶意软件可以通过点击一个自称是流媒体音乐播放器的网站上的“Get It Now”按钮来下载。”
对最近的Kronos样本的分析揭示了其与过去版本的关联,如相同的字符串加密技术、相同的Windows API哈希加密技术和哈希值、相同的C2协议和加密。另外,在恶意软件的代码中也包含了自识别的“Kronos”。
使用Tor匿名网络是一种全新的方法。研究人员还指出,目前的样本已经采用了键盘记录程序的功能,类似于他们在Zeus Panda银行木马中发现的功能。另外,这些样本与Zeus Panda的另一个相似之处在于,它们的感染都是通过Web注入来实现的。