رفتن به محتوای اصلی
شنبه ۲۷ مرداد ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

بازگشت تروجان بانکی Kronos

بازگشت تروجان بانکی Kronos

تروجان بانکی غیرفعال Kronos، پس از سال ها با بازسازی و توسعه دوباره توسط هکرها فعال شده است و قربانیان را در کشورهای گوناگون مورد هدف قرار داده است. طبق تحلیل منتشر شده توسط پژوهشگران Proofpoint، آخرین نسخه این تروجان دارای ویژگی جدیدی در روند دستور و کنترل است تا بتواند با شبکه های ناشناس کننده Tor کار کند. پژوهشگران معتقدند که Kronos نه تنها بازسازی شده است، بلکه تحت عنوان Osiris منتشر شده است. Orisis نامی است که برخی از مجرمین سایبری از آن برای تروجان‌های تقریبا یکسان در بازارهای زیرزمینی استفاده می کنند.

از ۲۷ ژوئن، پژوهشگران چهار حمله سایبری مختلف را مشاهده کرده اند که حاوی فایل هایی هستند که منجر به دانلود تروجان Kronos/Osiris می شوند. تروجان بانکی Kronos برای اولین بار در سال ۲۰۱۴ کشف شد و پس از آن بدلیل قابلیت هایی مانند سرقت اطلاعات احرازهویت و استفاده از ابزارهای تزریق وب برای وبسایت های بانکی، شهرت یافت. همچنین، تروجان دارای یک روتکیت Ring۳ است تا در مقابل سایر تروجان ها محافظت شود. در سال ۲۰۱۶ فعالیت این تروجان متوقف شد. در سال ۲۰۱۷، بار دیگر Kronos توجه جوامع امنیت سایبری را به خود جلب کرد اما فعالیت آن محدود بود.

اکنون، طی حملات ارسال ایمیل اسپم که شرکت های مالی را مورد هدف قرار داده است، از آدرس hxxp://jhrppbnh۴d۶۷۴kzh[.]‎onion/kpanel/connect.php به عنوان سرور کنترل و فرماندهی استفاده شده است. ایمیل ها با عنوان "بروزرسانی شرایط و ضوابط ارسال" شده اند.

در ایمیل ها از اسناد Word استفاده شده است که حاوی کدهای ماکرویی هستند که پس از اجرا ویرایش جدیدی از تروجان بانکی Kronos را دانلود و اجرا می کنند. در برخی موارد، در حملات از یک smoke-loader استفاده شده است. smoke-loader نام برنامه کوچکی است که معمولا برای دانلود بدافزارهای اضافی در یک حمله استفاده می‌شود.

 حملات در ۱۵-۱۶ جولای، نیز مشاهده شده است که در این حملات طی یک زنجیره تبلیغات مخرب، قربانیان به سایت هایی منتقل می شوند که حاوی تزریق های مخرب جاوااسکریپت هستند. در یک سناریو دیگر از این حملات، مهاجمین از ایمیل هایی با محتوای مخرب صورتحساب مالی جعلی در پیوست استفاده کرده اند. در پیوست ایمیل ها اسنادی استفاده شده است که در آنها از آسیب‌پذیری Microsoft Equation Editor ‪(CVE-۲۰۱۷-۱۱۸۸۲)‬ بهره برداری شده است. این آسیب‌پذیری سال گذشته رفع شده است.

پژوهشگران Proofpoint حملات دیگری را نیز مشاهده کردند که در ۲۰ جولای، انجام گرفته است که در آنها از یک وبسایت پخش موسیقی استفاده شده است که با کلیک بر روی لینک Get It Now، بدافزار Kronos از آدرس hxxp://mysmo۳۵wlwhrkeez[.]‎onion/kpanel/connect.php دانلود می شود.

تحلیل این ویرایش از Kronos نشان می دهد که این نسخه نیز از تکنیک های رمزگذاری مشابه نسخه های قبلی، hashهای مشابه مربوط به Windows API و رمزگذاری و پروتکل C&C مشابه استفاده می کند. استفاده از سرویس ناشناس کننده Onion رویکرد جدیدی است. پژوهشگران اعلام کردند که نمونه های فعلی این تروجان قابلیت key-logger مشابه تروجان بانکی Zeus Panda را پیاده سازی کرده است. همچنین روش تزریق وب آن نیز مشابه Zeus است.

۴۹