Kronos Malware ressurge com mais funcionalidades

Acredita-se que o malware Kronos tenha se originado do código-fonte vazado do malware Zeus, que foi vendido no submundo russo em 2011.

A evolução do malware Kronos

O Kronos continuou a evoluir e uma nova variante do Kronos surgiu em 2014 e teria sido vendida na darknet por aproximadamente $ 7.000. O Kronos é normalmente usado para baixar outros malwares e historicamente tem sido usado por agentes de ameaças para entregar diferentes tipos de malware às vítimas.

Depois de permanecer inativo por alguns anos, o trojan bancário Kronos ressurgiu em 2018, sob o nome de Osiris, e foi usado em uma campanha de trojan bancário. Embora houvesse algumas diferenças entre as duas cepas, tanto Osiris quanto Kronos compartilhavam a mesma técnica para roubar informações.

A Kronos fez mais um ressurgimento — desta vez combinado com ransomware — e, no final de 2022, o IBM Security Trusteer viu um aumento na atividade de malware da Kronos no México. Nesses ataques, ele foi usado para lançar injeções de JavaScript na web em instituições financeiras com uma extensão de cromo maliciosa.

Uma breve revisão do ataque de malware Kronos no México

A primeira vítima do malware 2022 Kronos teve o malware instalado automaticamente por meio de uma extensão do Chrome maliciosa chamada “Seguridad” (Segurança).

Cronos_1.png

Esta é a primeira vez que observamos malware utilizando uma extensão do Chrome com injeções na web em instituições financeiras.

Captura de tela 2023-01-25 às 11.02.35 AM.png

O malware Kronos utiliza um arquivo de configuração para identificar as páginas de destino na sessão de navegação da vítima. Depois que a vítima navega para uma dessas páginas, o malware inicia uma chamada para um recurso externo e injeta uma carga útil de JavaScript maliciosa. Uma vez instalada a extensão maliciosa do Chrome, se o usuário tentar acessar uma das instituições financeiras mexicanas visadas, a extensão injetará JavaScript malicioso com o nome: “8vZ9d1-ad.js” ou “ok.js”:

Essa carga útil pode ser usada para roubar informações confidenciais do dispositivo da vítima.

Recursos de injeção furtiva na Web

Durante uma investigação das injeções na web do malware Kronos, descobriu-se que o principal objetivo do invasor é roubar informações confidenciais da vítima, como credenciais de login (nome de usuário, senha), tokens móveis, tokens OTP e muito mais. Essas informações roubadas podem ser usadas pelo invasor para obter acesso não autorizado às contas da vítima ou para cometer outras atividades fraudulentas.

Exemplo para Web-Inject:

Captura de tela 2023-01-25 em 11.04.23 AM.png

Depois que um usuário é infectado com o malware Kronos, o malware pode esperar que o usuário insira suas credenciais de login em um site de destino. Nesse ponto, o componente JavaScript do malware começará a se injetar no navegador da vítima, exibindo uma falsa animação de carregamento (comumente conhecida como “loader gif”) para ocultar o fato de que as informações do usuário estão sendo roubadas. Essa técnica é comumente usada por malware para evitar a detecção e aumentar a probabilidade de roubar com sucesso informações confidenciais da vítima:

Cronos_4.png

O malware pode solicitar ao usuário informações confidenciais adicionais, como um número de telefone, sob o pretexto de verificar a identidade do usuário. Essas informações são usadas pelo invasor para vários fins nefastos.

Função JavaScript principal:

Ask_userEnviar comando esqueci o nome de usuário
Ask_passDigite a senha
Ask_mobile_access_tokenPeça ao usuário para inserir o token móvel de acesso
Ask_mobile_confirmationPeça a confirmação do token móvel
Ask_otp_access_tokenPedir OTP para token físico
Ask_calc_access_tokenSegunda confirmação para token
Ask_calc_confirmation_tokenTerceira confirmação para token
Ask_emailPedir endereço de e-mail
Ask_infoSolicitação de telefone fixo e celular

Role para ver a tabela completa

Assim que o malware for totalmente inicializado e suas várias funções forem ativadas, ele usará a função “send_home” para exfiltrar qualquer informação roubada de volta ao servidor do invasor. Essa função é normalmente usada para transmitir dados confidenciais que foram coletados pelo malware durante a sessão de navegação na web da vítima:

Cronos_5.png

A função “send_home” é usada pelo malware Kronos para transmitir informações roubadas ao servidor de comando e controle (C&C) do invasor. Essa transmissão geralmente inclui um token exclusivo e um link para a instituição financeira da qual as informações foram roubadas. Isso permite que o invasor identifique facilmente a origem das informações roubadas e rastreie o progresso das atividades do malware.

Cronos_6.png

Por exemplo: hxxps://tomolina.top/uadmin/gate.php?pl=token&link=hsbc_mx1.1

Painel C&C (administrador)

O painel “uadmin” é uma interface C&C usada por invasores para gerenciar vários aspectos de suas campanhas de malware. Ele permite que o invasor configure injeções na Web e outras opções, além de visualizar informações confidenciais coletadas das vítimas. Essas informações, que podem incluir credenciais de login, tokens móveis e códigos OTP, são normalmente usadas pelo invasor para vários fins nefastos.

Dentro do C&C (admin):

Cronos_7.png

O código-fonte do painel “uadmin” vazou no passado e abaixo está um exemplo do código principal do administrador:

Cronos_8.png

Página principal:

Página principal do token:

Captura de tela da página principal do token

Esta página contém logs de vítimas infectadas, incluindo:

  • A última vez que a vítima se conectou ao banco visado.
  • O endereço IP da vítima.
  • Informações do dispositivo (por exemplo, sistema operacional e tipo de navegador da web).
  • O nome do banco de destino que o invasor configurou.
  • Dados rápidos mostrando as credenciais de login da vítima.
  • O recurso “redirecionar”, que redireciona todos os bots existentes e novos para apresentar links em cada página.
  • O recurso “bloquear”, que bloqueia o acesso à página após o usuário inserir suas credenciais.
  • Comentários do proprietário da C&C.

A página de administração do C&C fornece uma visão robusta da atividade da vítima e é uma maneira eficiente para os invasores coletarem dados da vítima e estatísticas do usuário que mostram o progresso de sua campanha. As principais características do C&C incluem:

  • Estatísticas sobre o número de bots infectados e outras métricas.
  • Uma lista de bots infectados, incluindo seus endereços IP e outros detalhes.
  • A capacidade de controlar remotamente bots infectados.
  • A capacidade de exportar logs de informações roubadas.
  • Configurações para o componente ladrão do malware.
  • Uma lista negra de páginas da web que o malware não deve atingir.

Instituição financeira alvo: Região do México

Durante um ataque observado a uma instituição financeira da região do México, identificamos vários indicadores de comprometimento.

COI:

Neste caso, conseguimos recuperar com sucesso o Indicator of Compromise (IOC) do arquivo de configuração do JavaScript localizado em “8vZ9d1-ad.js”.

  • hxxps://dlxfreight.bid/mx/
  • hxxps://dlxfreight.bid/w1Q5DXr7te/gate.php
  • hxxps://pnlbanorte.dlxfreight.bid
  • hxxps://dlxfreight.bid/
  • hxxp://tomolina[.]topo/
  • hxxps://facturacionmexico.net/choa.php
  • hxxps://dlxfreightmore.com

Como se proteger de Kronos

Para se proteger contra o Kronos, é importante usar programas antivírus e antimalware confiáveis, bem como manter os sistemas atualizados com os últimos patches de segurança e atualizações de software. Além disso, os funcionários devem ser instruídos sobre como reconhecer e evitar e -mails de phishing , e as organizações devem implementar filtragem de e-mail e outras medidas de segurança para bloquear e-mails maliciosos.

Se houver suspeita de que um sistema está infectado com o Kronos, é importante colocar o sistema off-line imediatamente e realizar uma verificação completa usando ferramentas antivírus e antimalware. Quaisquer dados confidenciais que possam ter sido comprometidos também devem ser alterados imediatamente.

Suspeita-se que essa campanha de malware possa se espalhar para a região da América do Norte e também para a região da Europa. Devido à sua funcionalidade avançada e capacidade de evitar a detecção, é importante que indivíduos e organizações nessas regiões estejam cientes da ameaça que ela representa e tomem as medidas mencionadas acima para melhor proteção contra ela.

Fonte: https://securityintelligence.com/