Die frühesten Erwähnungen der Kronos-Malware gehen auf das Jahr 2014 zurück, aber der Banking-Trojaner ist nach der Verhaftung von Marcus Hutchins in den Mainstream eingetreten.
Hutchins, der ins Rampenlicht gerückt wurde, als er im Mai „aus Versehen“ den WannaCry-Virus stoppte, soll vom FBI nach einer zweijährigen Untersuchung der Cyberkriminalität angeklagt worden sein. Insbesondere wird Hutchins beschuldigt, Kronos-Malware von seinem Haus in Devon, Großbritannien, mit einem namentlich nicht genannten Komplizen verkauft und gewartet zu haben. Gerichtsakten deuten darauf hin, dass es sechs Anklagen gibt, die sich auf dieses angebliche Verbrechen beziehen.
Kronos-Malware
Was ist der Kronos-Banking-Trojaner?
Kronos wurde 2014 in einem russischen Cybercrime-Forum für unglaubliche 7.000 US-Dollar zum Verkauf angeboten. Dieser Preis weckte das Interesse vieler Sicherheitsforscher, da Malware normalerweise für Hunderte, nicht Tausende von Dollar verkauft wird. Regelmäßige Malware wird auch häufig kostenlos angeboten oder über Malware-Quellcodelecks verbreitet. Für diesen Preis von 7.000 $ bot der Hacker kostenlose Upgrades sowie Fehlerbehebungen an.
Laut der Anzeige wurde Kronos so konzipiert, dass es mit ähnlichen sogenannten „Injects“ läuft wie der Banking-Trojaner Zeus. Zeus ist einer der bekanntesten Trojaner und wurde erstmals 2007 entdeckt, bevor er später offline genommen wurde.
Was ist ein Trojaner?
Ein Trojaner ist eine Form von Malware, die sich als harmlose Anwendung ausgibt. Seine Stärke liegt zum Beispiel darin, Opfer dazu zu verleiten, bösartigen Code herunterzuladen und auszuführen, und zwar über zwielichtige Anhänge in E-Mails.
Der Name stammt, wie viele sicherheitsrelevante Software, aus der Mythologie. Trojanische Viren sind insbesondere nach dem Trojanischen Pferd benannt, das das Ende des Trojanischen Krieges herbeiführte, in dem sich Soldaten in einem großen Holzpferd versteckten und die Griechen angriffen. Aus Sicherheitsgründen bleibt der Trojaner in einer App oder einem Anhang versteckt, bis er bereit ist, den infizierten Computer anzugreifen.
Zusätzlich zu E-Mail-Anhängen werden Trojaner häufig mit legitimer Software oder online heruntergeladenen Lesezeichenleisten gebündelt. Die Originalsoftware funktioniert so, wie sie sollte, um Verdacht zu vermeiden, während der Trojaner sie verwendet, um auf dem PC des Opfers Chaos anzurichten. Einmal installiert, kann ein Trojaner von Hackern verwendet werden, um andere bösartige Software zu installieren, Benutzernamen und Kennwörter zu stehlen, Tastenanschläge zu protokollieren und vieles mehr.
Wie verbreitet sich die Kronos-Malware?
Das Verhalten von Kronos ist typisch für einen Banking-Trojaner. Im November 2016 entdeckten Sicherheitsforscher von Proofpoint mehrere große E-Mail-Kampagnen mit Zehntausenden von Nachrichten, die auf verschiedene Branchen abzielten, von Universitäten über Banken bis hin zu Krankenhäusern.
Sehen Sie sich den verwandten WannaCry-„Helden“ Marcus Hutchins an, der Kaution gewährte, da er die Verbreitung von Kronos-Malware leugnet. So manipuliert Ransomware Ihr Gehirn, um zu zahlen
Diese Kampagnen wurden weltweit gesendet, zielten aber hauptsächlich auf Großbritannien und Nordamerika ab. Die Kronos-Malware wurde über Anhänge verschickt, die legitim aussahen. Wenn ein E-Mail-Empfänger auf den Anhang klickte, infizierte der Trojaner seinen Computer.
Die ursprüngliche Anzeige, die 2014 im russischen Forum zu sehen war, enthüllte, dass Kronos mithilfe sogenannter „Form-Grabbing“- und HTML-Content-Injection-Techniken Anmeldeinformationen von Browsersitzungen in Internet Explorer, Firefox und Chrome stehlen kann. Form-Grabbing ist eine raffiniertere Alternative zum Keylogging. Keylogging zielt auf Tastenanschläge ab, die oft sensible Daten übersehen können, die ein Benutzer in ein Formular einfügen oder aus einem Dropdown-Menü auswählen kann, anstatt sie einzugeben. Im Vergleich dazu erfassen Formulargrabber alle Formulardaten, bevor sie gesendet werden. Darüber hinaus wurde Kronos so konstruiert, dass es mit den für Zeus entwickelten „Web Injects“ kompatibel ist. Dies soll beabsichtigt gewesen sein, um Hackern einen einfachen Übergang von Zeus zu Kronos zu ermöglichen.
Es wurde festgestellt, dass die Kronos-Malware nicht nur Informationen stehlen kann, sondern auch ein sogenanntes „Benutzermodus-Rootkit“ enthält, das sowohl auf 32-Bit- als auch auf 64-Bit-Windows-Systemen läuft und der Kronos-Malware hilft, sich vor konkurrierender Malware zu schützen , und halten Sie sich von Antivirensoftware fern.
Bild:Kaspersky/Proofpoint