De tidigaste omnämnandena av Kronos malware går tillbaka till 2014 men banktrojanen har kommit in i mainstream efter arresteringen av Marcus Hutchins.
Hutchins, som kastades in i rampljuset när han ”av misstag” stoppade WannaCry-viruset i maj, sägs ha åtalats av FBI efter en tvåårig utredning om it-brott. I synnerhet anklagas Hutchins för att sälja och underhålla Kronos skadlig kod från sitt hem i Devon, Storbritannien med en icke namngiven medbrottsling. Rättshandlingar tyder på att det finns sex åtal som rör detta påstådda brott.
Kronos skadlig kod
Vad är Kronos banktrojan?
Kronos sågs till försäljning på ett ryskt forum för cyberbrott 2014 för svindlande 7 000 dollar. Detta pris väckte intresset hos många säkerhetsforskare eftersom skadlig programvara vanligtvis säljs för hundratals, inte tusentals, dollar. Regelbunden skadlig programvara erbjuds också vanligtvis gratis eller distribueras via källkodsläckor av skadlig kod. För detta pris på $7 000 erbjöd hackaren gratis uppgraderingar samt buggfixar.
Enligt annonsen var Kronos designad för att köras på liknande så kallade ”injektioner” som de som sågs i Zeus banktrojan. Zeus är en av de mest välkända trojanerna och sågs först 2007 innan han senare togs offline.
Vad är en trojan?
En trojan är en form av skadlig programvara som maskerar sig som en godartad applikation. Dess styrka ligger i att lura offer att ladda ner och köra skadlig kod via tvivelaktiga bilagor i e-postmeddelanden, till exempel.
Namnet, liksom många säkerhetsrelaterade program, kommer från mytologi. Specifikt är trojanska virus uppkallade efter den trojanska hästen som ledde till slutet av det trojanska kriget där soldater gömde sig inuti en stor trähäst och attackerade grekerna. I säkerhetstermer förblir det trojanska viruset dolt i en app eller bilaga tills det är redo att attackera den infekterade datorn.
Förutom e-postbilagor, är trojaner ofta paketerade med legitim programvara eller bokmärkesfält som laddas ner online. Originalprogramvaran fungerar som den ska, för att undvika misstankar, medan trojanen använder den för att orsaka förödelse på offrets dator. När den väl är installerad kan en trojan användas av hackare för att installera annan skadlig programvara, stjäla användarnamn och lösenord, logga tangenttryckningar och mycket mer.
Hur sprids Kronos skadliga program?
Kronos beteende är typiskt för en banktrojan. I november 2016 såg säkerhetsforskare på Proofpoint flera stora e-postkampanjer som skickade tiotusentals meddelanden, riktade mot olika branscher, från universitet till banker och sjukhus.
Dessa kampanjer skickades globalt, men riktade sig främst till Storbritannien och Nordamerika. De Kronos skadlig kod skickades via bilagor som såg legitima ut. Om en e-postmottagare klickade på bilagan infekterade trojanen deras maskin.
Den ursprungliga annonsen som sågs på det ryska forumet 2014 avslöjade att Kronos kan stjäla referenser från surfsessioner i Internet Explorer, Firefox och Chrome med hjälp av så kallade ”form-grabbing” och HTML-innehållsinjektionstekniker. Form-grabbing är ett mer sofistikerat alternativ till keylogging. Tangentloggning riktar sig mot tangenttryckningar, som ofta kan missa känslig information som en användare kan klistra in i ett formulär eller välja från en rullgardinsmeny, snarare än att skriva. Som jämförelse fångar formulärgrabbare all formulärdata innan den skickas. Dessutom konstruerades Kronos för att vara kompatibelt med de ”webinjektioner” som utvecklats för Zeus. Detta sades ha varit medvetet, för att göra det möjligt för hackare att enkelt gå över från Zeus till att använda Kronos.
Förutom att kunna stjäla information, visade sig Kronos skadlig programvara innehålla vad som kallas ett ”användarlägesrootkit” som körs på både 32-bitars och 64-bitars Windows-system och som hjälper Kronos skadlig programvara att skydda sig mot rivaliserande skadlig programvara , samt hålla sig borta från antivirusprogramvaran.
Bild: Kaspersky/Proofpoint
