El malware de Kronos resurge con mayor funcionalidad
La evolución del malware Kronos
Se cree que el malware Kronos se originó a partir del código fuente filtrado del malware Zeus, que se vendió en la clandestinidad rusa en 2011. Kronos continuó evolucionando y en 2014 apareció una nueva variante de Kronos y, según se informa, se vendió en la darknet por aprox. 7000 dolares Kronos se usa comúnmente para descargar otro malware e históricamente ha sido utilizado por los actores de amenazas para entregar varios tipos de malware a las víctimas.
Después de varios años de inactividad, el troyano bancario Kronos resurgió en 2018 con el nombre de Osiris y se utilizó en una campaña de troyano bancario. Aunque había algunas diferencias entre las dos cepas, tanto Osiris como Kronos compartían la misma técnica para robar información.
Kronos hizo otro resurgimiento, esta vez con ransomware, y a fines de 2022, IBM Security Trusteer vio un aumento en la actividad de malware de Kronos en México. En estos ataques, se utilizó para lanzar inyecciones web de JavaScript en instituciones financieras a través de una extensión de Chrome maliciosa.
Una breve descripción del ataque de malware de Kronos en México
La primera víctima del malware Kronos 2022 tenía el malware instalado automáticamente a través de una extensión de Chrome maliciosa llamada “Seguridad”.
Esta es la primera vez que vemos malware que usa una extensión de Chrome con inyecciones web en instituciones financieras.
El malware Kronos utiliza un archivo de configuración para identificar las páginas objetivo en la sesión de navegación web de la víctima. Una vez que la víctima navega a una de estas páginas, el malware llamará a un recurso externo e inyectará una carga útil de JavaScript malicioso. Una vez que se instala la extensión de Chrome maliciosa, si un usuario intenta acceder a una de las instituciones financieras mexicanas objetivo, la extensión inyectará JavaScript malicioso con el nombre “8vZ9d1-ad.js” o “ok.js”:
Esta carga útil se puede usar para robar datos confidenciales del dispositivo de la víctima.
Capacidades de inyección web ocultas
La investigación de las inyecciones web del malware Kronos reveló que el objetivo principal del atacante es obtener credenciales de inicio de sesión (nombre de usuario, contraseña), tokens móviles, tokens OTP, etc. de la víctima. es robar datos confidenciales como Estos datos robados pueden ser utilizados por un atacante para obtener acceso no autorizado a las cuentas de la víctima o realizar otras actividades fraudulentas.
Ejemplo de inyección web:
Una vez que un usuario está infectado con el malware Kronos, el malware puede esperar a que el usuario ingrese su información de inicio de sesión en el sitio web objetivo. En este punto, el componente JavaScript del malware comenzará a inyectarse en el navegador web de la víctima, mostrando una animación de carga falsa (comúnmente conocida como “gif de cargador”) para ocultar el hecho de que se ha robado la información del usuario. Este método se usa comúnmente para evitar la detección de malware y aumentar la probabilidad de robar con éxito datos confidenciales de la víctima:
Luego, el malware puede solicitar información confidencial adicional del usuario, como un número de teléfono, con el pretexto de verificar la identidad del usuario. Esta información luego es utilizada por el atacante para varios propósitos nefastos.
Función básica de JavaScript:
| preguntar al usuario | Enviar comando Olvidé mi nombre de usuario |
| Request_pass | introducir la contraseña |
| Preguntar por mobile_access_token | Solicitar al usuario el acceso al token móvil |
| Solicitar verificación_móvil | Solicitar confirmación de token móvil |
| Request_otp_access_token | Solicitar OTP para token físico |
| Request_calc_access_token | Segunda confirmación del token |
| Preguntar porcalculation_authentication_token | Tercera confirmación del token |
| Request_email | Solicitar una dirección de correo electrónico |
| preguntar_info | Solicitud de teléfono fijo y móvil |
Desplázate para ver la programación completa
Una vez que el malware esté completamente operativo y sus diversas funciones estén activadas, utilizará la función “send_home” para enviar los datos robados al servidor del atacante. Esta función generalmente se usa para transmitir datos confidenciales recopilados por malware durante la sesión de navegación web de una víctima:
El malware Kronos utiliza la función “send_home” para transmitir datos robados al servidor de comando y control (C&C) del atacante. Esta transmisión suele contener un identificador único y un enlace a la institución financiera de la que se robó la información. Esto permite que un atacante identifique fácilmente la fuente de los datos robados y rastree el progreso del malware.
Ejemplo: hxxps://tomolina.top/uadmin/gate.php?pl=token&link=hsbc_mx1.1
Panel de control y control (uadmin)
El panel “Uadmin” es una interfaz de C&C utilizada por los atacantes para administrar varios aspectos de sus campañas de malware. Esto le permite al atacante configurar inyecciones web y otras opciones, así como ver información confidencial recopilada de las víctimas. Esta información, que puede incluir credenciales de inicio de sesión, tokens móviles y códigos OTP, suele ser utilizada por un atacante para varios fines nefastos.
Dentro de C&C (uadmin):
El código fuente del panel “uadmin” se filtró en el pasado y, a continuación, se muestra un ejemplo del código de administración básico:
Pagina principal:
Página principal de fichas:
Esta página contiene registros de víctimas infectadas, que incluyen:
- La víctima fue conectada por última vez al banco objetivo.
- La dirección IP de la víctima.
- Información del dispositivo (como el sistema operativo y el tipo de navegador web).
- El nombre del banco objetivo configurado por el atacante.
- Datos rápidos que muestran las credenciales de inicio de sesión de la víctima.
- Una función de “redireccionamiento” que dirige a todos los bots existentes y nuevos para que envíen enlaces en cada página.
- Una función de “bloqueo” que bloquea el acceso a la página después de que el usuario haya ingresado sus credenciales.
- Comentarios del propietario de C&C.
La página de administración de C&C brinda una vista confiable de la actividad de las víctimas y es una forma eficiente para que los atacantes recopilen datos de las víctimas y estadísticas de los usuarios que muestren el progreso de sus campañas. Las características clave de C&C son:
- Estadísticas sobre el número de bots infectados y otros indicadores.
- Una lista de bots infectados, incluidas sus direcciones IP y otros detalles.
- Capacidad para controlar de forma remota los bots infectados.
- Posibilidad de exportar registros de datos robados.
- Configuración para el componente secuestrador del malware.
- Una lista negra de páginas web a las que el malware no debe apuntar.
Institución Financiera Objetivo: Región México
Durante el ataque observado a la institución financiera de la región de México, identificamos muchos indicadores de compromiso.
COI:
En este caso, pudimos recuperar con éxito el indicador de compromiso (IOC) del archivo de configuración de JavaScript ubicado en “8vZ9d1-ad.js”.
- hxxps://dlxfreight.bid/mx/
- hxxps://dlxfreight.bid/w1Q5DXr7te/gate.php
- hxxps://pnlbanorte.dlxfreight.bid
- hxxps://dlxfreight.bid/
- hxxp://tomolina[.]cima/
- hxxps://facturacionmexico.net/choa.php
- hxxps://dlxfreightmore.com
Cómo mantenerse a salvo de Kronos
Para protegerse contra Kronos, es importante usar un software antivirus y antimalware confiable, así como mantener los sistemas actualizados con los últimos parches de seguridad y actualizaciones de software. Además, los empleados deben estar informados sobre cómo reconocer y prevenir suplantación de identidad correos electrónicos y las organizaciones deben implementar filtros de correo electrónico y otras medidas de seguridad para bloquear correos electrónicos maliciosos.
Si sospecha que el sistema está infectado con Kronos, es importante desconectar inmediatamente el sistema y realizar un análisis exhaustivo con herramientas antivirus y antimalware. Cualquier información confidencial que pueda verse comprometida también debe cambiarse de inmediato.
Se sospecha que esta campaña de malware podría extenderse potencialmente a la región de América del Norte y potencialmente también a la región europea. Debido a su funcionalidad avanzada y su capacidad para evadir la detección, es importante que las personas y las organizaciones de estas regiones sean conscientes de la amenaza que representa y tomen las medidas mencionadas anteriormente para protegerse mejor contra ella.
Realice investigaciones para conocer la autenticación de clientes, detectar fraudes y protegerse contra usuarios maliciosos en todos los canales Soluciones de confianza de seguridad de IBM.
