Kronos – nowa wersja starego trojana atakuje klientów polskich banków
W ciągu ostatnich miesięcy wiele razy mieliśmy okazję informować o atakach wycelowanych w klientów polskich banków – warto tu przypomnieć choćby ostrzeżenie wydane przez mBank. Sezon urlopowy trwa w najlepsze, jednak nie dla atakujących oszustów. Ci mają ręce pełne roboty, o czym świadczy wielki powrót trojana Kronos. Niestety, na liście państw, w których wykorzystano Kronosa do prób kradzieży, znalazła się także Polska.
Trojan Kronos znany jest w pierwotnej wersji od roku 2014. Na ślad nowego, udoskonalonego wariantu trojana trafiła grupa Proofpoint. W raporcie na temat zagrożenia eksperci oznajmili, że atak przebiegł w trzech falach. Pierwsza z nich dotarła do Niemiec 27 czerwca, druga uderzyła w Japonię 13 lipca. Trzecia kampania rozpoczęła się 15 lipca i została wymierzona w Polskę.
Według danych zgromadzonych przez Proofpoint, do dystrybucji trojana użyte zostały wiadomości mailowe udające przesyłki z fakturami – temat szkodliwej wiadomości to „Faktura 2018.07.16”. Nie można powiedzieć, by atak był zatem szczególnie wyrafinowany: użytkownik musi nabrać się na maila, a następnie pobrać i uruchomić rzekomą fakturę zapisaną w formacie DOC. Po jej uruchomieniu, z wykorzystaniem załatanej w listopadzie luki w edytorze równań (CVE-2017-11882), pobierany był Kronos.
Trzon jego funkcjonalności nie zmienił się przez ostatnie 4 lata i wciąż opiera się na modelu Man-in-the-Browser: po uzyskaniu dostępu do przeglądarki atakujący przejmuje nad nią pełna kontrolę, może modyfikować wyświetlane treści (na przykład fałszować strony logowania), a także przechwytywać przesyłane dane, także jeśli transfer odbywa się z wykorzystaniem protokołu SSL. Ponadto Kronos to keylogger, który przechwytuje wprowadzane przez użytkownika dane, a nawet posiada ukrytą sesję VNC, która pozwala atakującemu na zdalny dostęp do pulpitu.
Na tym jednak nie koniec, mowa wszak była o udoskonalonym wariancie Kronosa. Tegoroczna odsłona wykorzystuje serwer C&C w domenie .onion i łączy się z nim za pośrednictwem sieci Tor. Badacze z Proofpoint informują, że Kronos nie jest jedynym zagrożeniem, jakie w ostatnim czasie wykorzystane było do ataku po latach nieaktywności – kolejnym zmartwychwstałym jest, nomen omen, Osiris. Jak dotąd eksperci Proofpoint nie odnotowali w przypadku Polski wykorzystania exploitu, co jednak nie oznacza, że nie ma się czego obawiać.
Podatność Office'a może być bowiem wykorzystana do pobrania Kronosa i całkowitego przejęcia przeglądarki w dowolnym późniejszym terminie. To zaś może poskutkować dostępem do każdego konta użytkownika, łącznie z bankowością elektroniczną i systemami wykorzystującym dwustopniową weryfikację tożsamości. Wszystkim zalecamy szczególną ostrożność w stosunku do maili nieznanego pochodzenia i przeskanowanie komputera na przykład za pomocą Malwarebytes Anti-Exploit.
