Kronos マルウェアが機能を強化して再登場

Kronos マルウェアの進化

Kronos マルウェアは、2011 年にロシアのアンダーグラウンドで販売された Zeus マルウェアの流出したソース コードに由来すると考えられています。Kronos は進化を続け、Kronos の新しい亜種が 2014 年に出現し、約7,000ドル。 Kronos は通常、他のマルウェアをダウンロードするために使用され、これまでさまざまな種類のマルウェアを被害者に配信するために攻撃者によって使用されてきました。

Kronos バンキング型トロイの木馬は、数年間活動を休止していた後、2018 年に Osiris という名前で再出現し、バンキング型トロイの木馬キャンペーンで使用されました。 2 つの系統にはいくつかの違いがありましたが、オシリスとクロノスは情報を盗むための同じ手法を共有していました。

Kronos は、今回はランサムウェアと組み合わせてさらに復活し、2022 年後半、IBM Security Trusteer はメキシコで Kronos マルウェアの活動が増加していることを確認しました。 これらの攻撃では、悪意のある Chrome 拡張機能を使用して金融機関に JavaScript Web インジェクトを起動するために使用されました。

メキシコでの Kronos マルウェア攻撃の簡単なレビュー

2022 Kronos マルウェアの最初の被害者は、「Seguridad」(セキュリティ)と呼ばれる悪意のある Chrome 拡張機能を介してマルウェアを自動的にインストールしていました。

クロム拡張機能を利用し、金融機関に Web インジェクションを行うマルウェアを確認したのはこれが初めてです。

Kronos マルウェアは、構成ファイルを使用して、被害者の Web ブラウジング セッション内の標的となるページを識別します。 被害者がこれらのページのいずれかに移動すると、マルウェアは外部リソースへの呼び出しを開始し、悪意のある JavaScript ペイロードを挿入します。 悪意のある chrome 拡張機能がインストールされると、ユーザーが標的のメキシコの金融機関のいずれかにアクセスしようとすると、拡張機能は「8vZ9d1-ad.js」または「ok.js」という名前の悪意のある JavaScript を挿入します。

このペイロードを使用して、被害者のデバイスから機密情報を盗むことができます。

ステルス Web インジェクション機能

Kronos マルウェアの Web インジェクションの調査中に、攻撃者の主な目的は、被害者からログイン資格情報 (ユーザー名、パスワード)、モバイル トークン、OTP トークンなどの機密情報を盗むことであることが判明しました。 これらの情報は攻撃者によって盗まれ、被害者のアカウントへの不正アクセスやその他の詐欺行為に利用される可能性があります。

Web インジェクトの例:

ユーザーが Kronos マルウェアに感染すると、マルウェアは、ユーザーが標的の Web サイトでログイン資格情報を入力するのを待つ場合があります。 この時点で、マルウェアの JavaScript コンポーネントが被害者の Web ブラウザーに侵入し始め、ユーザーの情報が盗まれているという事実を隠すために、偽の読み込みアニメーション (一般に「ローダー gif」として知られている) を表示します。 この手法は、検出を回避し、被害者から機密情報を盗むことに成功する可能性を高めるために、マルウェアによって一般的に使用されます。

その後、マルウェアは、ユーザーの身元を確認することを装って、電話番号などの追加の機密情報をユーザーに要求する可能性があります。 この情報はその後、さまざまな悪意のある目的で攻撃者によって使用されます。

主な JavaScript 関数:

ask_user 送信コマンドがユーザー名を忘れた
Ask_pass パスワードを入力する
ask_mobile_access_token ユーザーにアクセス モバイル トークンの入力を求める
Ask_mobile_confirmation モバイル トークンの確認を求める
Ask_otp_access_token 物理トークンの OTP を要求する
Ask_calc_access_token トークンの 2 回目の確認
Ask_calc_confirmation_token トークンの 3 回目の確認
Ask_email メールアドレスを聞く
Ask_info 固定電話・携帯電話のお願い

スクロールして表全体を表示

マルウェアが完全に初期化され、さまざまな機能が有効になると、「send_home」機能を使用して、盗んだ情報を攻撃者のサーバーに送り返します。 この関数は通常、被害者の Web ブラウジング セッション中にマルウェアによって収集された機密データを送信するために使用されます。

「send_home」機能は、盗んだ情報を攻撃者のコマンド アンド コントロール (C&C) サーバーに送信するために、Kronos マルウェアによって使用されます。 この送信には通常、一意のトークンと、情報が盗まれた金融機関へのリンクが含まれます。 これにより、攻撃者は盗んだ情報のソースを簡単に特定し、マルウェアの活動の進行状況を追跡できます。

例: hxxps://tomolina.top/uadmin/gate.php?pl=token&link=hsbc_mx1.1

C&C パネル (uadmin)

「uadmin」パネルは、攻撃者がマルウェア キャンペーンのさまざまな側面を管理するために使用する C&C インターフェイスです。 これにより、攻撃者は Web インジェクトやその他のオプションを構成したり、被害者から収集した機密情報を表示したりできます。 ログイン認証情報、モバイル トークン、OTP コードを含むこの情報は、通常、さまざまな悪意のある目的で攻撃者によって使用されます。

C&C の内部 (uadmin):

「uadmin」パネルのソース コードは過去にリークされており、以下はメインの管理コードの例です。

メインページ:

メイン トークン ページ:

このページには、次のような感染した被害者のログが含まれています。

  • 被害者が標的の銀行に最後に接続した時刻。
  • 被害者の IP アドレス。
  • デバイス情報 (オペレーティング システムや Web ブラウザの種類など)。
  • 攻撃者が設定したターゲット銀行の名前。
  • 被害者のログイン資格情報を示すクイック データ。
  • 「リダイレクト」機能。既存および新規のすべてのボットをリダイレクトして、各ページにリンクを表示します。
  • ユーザーが資格情報を入力した後、ページへのアクセスをブロックする「ブロック」機能。
  • C&Cオーナーからのコメント。

C&C の管理ページは、被害者の活動をしっかりと確認できるビューを提供し、攻撃者がキャンペーンの進行状況を示す被害者データとユーザー統計を収集するための効率的な方法です。 C&C の主な機能は次のとおりです。

  • 感染したボットの数とその他の指標に関する統計。
  • IP アドレスやその他の詳細を含む、感染したボットのリスト。
  • 感染したボットをリモートで制御する機能。
  • 盗まれた情報のログをエクスポートする機能。
  • マルウェアのスティーラー コンポーネントの設定。
  • マルウェアがターゲットにしてはならない Web ページのブラックリスト。

対象金融機関:メキシコ地域

メキシコ地域の金融機関への攻撃が観察された際、侵害の兆候を複数特定しました。

IOC:

この例では、「8vZ9d1-ad.js」にある JavaScript 構成ファイルから侵害の痕跡 (IOC) を正常に取得できました。

  • hxxps://dlxfreight.bid/mx/
  • hxxps://dlxfreight.bid/w1Q5DXr7te/gate.php
  • hxxps://pnlbanorte.dlxfreight.bid
  • hxxps://dlxfreight.bid/
  • hxxp://トモリナ[.]上/
  • hxxps://facturacionmexico.net/choa.php
  • hxxps://dlxfreightmore.com

クロノスから身を守る方法

Kronos から保護するには、評判の良いウイルス対策プログラムとマルウェア対策プログラムを使用し、最新のセキュリティ パッチとソフトウェア アップデートでシステムを最新の状態に保つことが重要です。 さらに、フィッシング メールを認識して回避する方法について従業員を教育する必要があり、組織はメール フィルタリングやその他のセキュリティ対策を実装して、悪意のあるメールをブロックする必要があります。

システムが Kronos に感染している疑いがある場合は、すぐにシステムをオフラインにして、ウイルス対策ツールとマルウェア対策ツールを使用して完全なスキャンを実行することが重要です。 危険にさらされた可能性のある機密データも、すぐに変更する必要があります。

このマルウェア キャンペーンは、北米地域だけでなく、ヨーロッパ地域にも広がる可能性があると考えられています。 その高度な機能と検出を回避する能力により、これらの地域の個人や組織は脅威を認識し、上記のアクションを実行して脅威から保護することが重要です。

顧客を認証し、詐欺を検出し、すべてのチャネルで悪意のあるユーザーから保護する方法を学ぶには、IBM Security Trusteer ソリューションを調べてください。

Leave a Comment

Your email address will not be published. Required fields are marked *