Nuova variante del trojan bancario Kronos

27/07/2018

banking kronos malware trojan
Scoperto per la prima volta nel 2014, il trojan bancario Kronos è stato una presenza fissa nel panorama delle minacce per alcuni anni per poi scomparire quasi completamente. Il malware, stando alla pubblica accusa federale degli Stati Uniti, è stato creato da Marcus Hutchins, l’hacker che ha trovato un kill switch per fermare gli attacchi di WannaCry nel 2014, e lo avrebbe venduto nel 2015 tramite i forum AlphaBay.
 
Recentemente i riceratori di Proofpoint hanno rilevato una nuova variante del trojan Kronos, apparsa per la prima volta lo scorso aprile in almeno tre distinte campagne in Germania, Giappone e Polonia.
 
A differenza della precedente versione questa variante utilizza la rete anonima TOR per instaurare una connessione tra il sistema infetto e i server di comando e controllo (C&C) del Trojan.

Prima campagna Kronos rilevata
La prima campagna è stata individuata in Germania tra il 27 e 30 Giugno 2018. Come vettore di attacco sono state veicolate e-mail simulando comunicazione da parte di aziende finanziarie tedesche con oggetto:
  •    Aktualisierung unsere AGBs         (traduzione: “Aggiornamento dei nostri termini e condizioni”)
  •    Mahnung: 9415166                       (traduzione: “Sollecito: 9415166”)
I documenti allegati avevano riferimenti con l’oggetto, del tipo:
  •    agb_9415166.doc
  •    Mahnung_9415167.doc
Di seguito un esempio della e-mail:
 
I documenti Word contenevano macro che, se abilitate, procedevano con il download e l’esecuzione di una nuova variante del Trojan bancario Kronos attraverso l’utilizzo di uno Smoke Loader intermedio costituito da un piccolo programma preposto a scaricare altro malware.

Seconda campagna rilevata
La seconda campagna ha colpito il Giappone il 13 Luglio 2018 attraverso una serie di “malvertising” che re-indirizzavano gli ignari utenti verso un sito che ospitava Java Script pericolosi che dirottavano le vittime all’exploit kit RIG per distribuire Smoke Loader. L’utilizzo di RIG EK abbinato a Kronos è già stato utilizzato in passato.

Terza Campagna
La terza campagna ha colpito invece la Polonia tra il 15 e 16 Luglio 2018, utilizzando lo stesso vettore di attacco della campagna tedesca, ma aventi come oggetto:
  •  Faktura 2018.07.16
 e contenenti allegati dal nome simile:
  •  faktura 2018.07.16.doc
A differenza della campagna tedesca, nella campagna polacca, il documento allegato sfruttava la vulnerabilità CVE-2017-11882 dell’“Equation Editor” di Microsoft, per scaricare ed eseguire la nuova versione di Kronos da http://mysit[.]space/123//v/0jLHzUW. Il codice era configurato per utilizzare il server C&C tramite la URL http://suzfjfguuis326qw[.]onion/kpanel/connect.php .

Campagna in atto
Lo scorso 20 luglio Proofpoint ha individuato una nuova campagna che sembra essere in corso e ancora in fase di test.  Non c’è ancora certezza sul vettore preciso di questa campagna, ma l’istanza di Kronos è configurata per utilizzare hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php come C&C e può essere scaricato cliccando sul bottone “GET IT NOW” di un sito che si finge un player di musica in streaming:
 
 

Analisi del malware
Il malware Kronos già noto agli analisti dal 2014, è un Trojan bancario che utilizza tecniche “man-in-the-browser” insieme a “webinject” per modificare le pagine web di istituti finanziari al fine di facilitare il furto di credenziali, di informazioni di account e altri dati degli utenti permettendo agli autori di effettuare transazioni fraudolente di denaro. È inoltre dotato di funzionalità di keylogging e di Virtual Network Computing (VNC) nascoste, a supporto delle attività dei criminali.
 
Le nuove versioni rilevate nel 2018 hanno molti elementi in comune con le precedenti tra cui:
  •     Sovrapposizione estesa di codice
  •     Stessa tecnica di hashing Windows API e hash
  •     Stessa tecnica di crittografia delle stringhe
  •     Sovrapposizione estesa delle stringhe
  •     Stesso meccanismo di crittografia C&C
  •     Stesso protocollo e crittografia C&C
  •     Stesso formato webinject (Zeus)
  •     Layout del file del pannello C&C simile
Probabilmente, il segnale più evidente che si tratti di una variante dello stesso malware è la stringa identificativa “Kronos” che è stata rilevata nel codice.
 

Dalle analisi effettuate sulle nuove varianti, una delle principali differenze tra le due versioni è l’utilizzo dell’URL di C&C .onion e quindi della rete Tor per rendere le comunicazioni anonime. Le informazioni nel codice relative alle URL dei C&C sono cifrate.

 


Osiris è il nuovo nome associato alle varianti di Kronos
 
Negli ultimi giorni in concomitanza della diffusione delle nuove varianti di Kronos, tramite le campagne precedentemente indicate, è apparso su un forum di hacking clandestino, un annuncio dedicato a un nuovo trojan bancario denominato “Osiris” scritto in C++ avente funzionalità di form grabbing, keylogger e webinject simili a quelle del noto malware Zeus.
Di seguito un estratto sulle funzionalità del malware:
Tali funzionalità, oltre ad altri elementi secondari emersi dalle comparazioni, sembrano tutte riferibili a quelle rilevate nelle recenti varianti di Kronos.

 
Di seguito gli indicatori file rilevati nelle campagne descritte:
 
  • 3cc154a1ea3070d008c9210d31364246889a61b77ed92b733c5bf7f81e774c40 (PE)
  • 93590cb4e88a5f779c5b062c9ade75f9a5239cd11b3deafb749346620c5e1218 (PE)
  • e7d3181ef643d77bb33fe328d1ea58f512b4f27c8e6ed71935a2e7548f2facc0 (PE)
  • 045acd6de0321223ff1f1c579c03ea47a6abd32b11d01874d1723b48525c9108 (RTF)
  • 3eb389ea6d4882b0d4a613dba89a04f4c454448ff7a60a282986bdded6750741 (PE)
  • bb308bf53944e0c7c74695095169363d1323fe9ce6c6117feda2ee429ebf530d (DOC)
  • 4af17e81e9badf3d03572e808e0a881f6c61969157052903cd68962b9e084177 (PE)

URLIPDomini internet rilevati da Proofpoint:
  • https://dkb-agbs[.]com/25062018.exe
  • https://startupbulawayo[.]website/d03ohi2e3232/
  • http://envirodry[.]ca
  • 5[.]23[.]54[.]158
  • http://lionoi.adygeya[.]su
  • http://milliaoin[.]info
  • http://fritsy83[.]website/Osiris.exe
  • http://oo00mika84[.]website/Osiris_jmjp_auto2_noinj.exe
  • https://kioxixu.abkhazia[.]su/
  • http://mysit[.]space/123//v/0jLHzUW
  • http://gameboosts[.]net/app/Player_v1.02.exe

 

 
Da aggiuntive analisi, svolte in relazione agli indicatori cui sopra, il CERT-PA riporta supplementari elementi direttamente correlati ai sample (SHA256) e domini internet riportati nell’articolo Proofpoint
 
Indicatori associati al dominio:
 
  • dkb-agbs[.]com

IoC (.txt) – SHA256MD5Tipo file .doc malevoli rilevati tra il 26 giugno e il 4 luglio 2018

  • lionoi.adygeya[.]su

IoC (.txt) – SHA256MD5Tipo file .PE di smokeloader rilevati tra il 20 e 27 luglio 2018

  • milliaoin[.]info

IoC (.txt) – SHA256MD5Tipo file .PE di smokeloader rilevati tra il 21 e 27 luglio 2018

  • fritsy83[.]website

IoC (.txt) – SHA256MD5Tipo file .PE di smokeloader rilevati tra il 20 e 27 luglio 2018

  • oo00mika84[.]website

IoC (.txt) – SHA256MD5Tipo file .PE di varia natura rilevati tra il 13 e 14 luglio 2018

  • mysit[.]space

IoC (.txt) – SHA256MD5Tipo file .RTF malevoli rilevati tra il 15 e 18 luglio 2018

 
In relazione al file “93590cb4e88a5f779c5b062c9ade75f9a5239cd11b3deafb749346620c5e1218” emerge una connessione di tipo HTTP GET verso il dominio “convert-unix-time[.]com” non menzionato dalla fonte ed al quale sono correlabili gli indicatori di seguito riportati:
  • convert-unix-time[.]com

IoC (.txt) – SHA256MD5Tipo file malevoli rilevati tra il 15 e 26 luglio 2018

 
Nota
Non si hanno al momento evidenze o informazioni circa la diffusione delle nuove varianti del trojan Kronos a danno dell’Italia. In considerazione delle ravvicinate campagne messe in atto dai criminali, dall’estesa infrastruttura di diffusione del malware e di server C&C oltre alla campagna di vendita messa in atto per il malware, non sono da escludere attacchi verso altri Stati.