Банковский троян Cinobi

Cinobi - это банковский троянец, который используется для атак на японских пользователей. Исследователи Trend Micro назвали первую атаку «Операция Overtrap» и приписали ее группе, которую они отслеживали в «Water Kappa». В то время киберпреступники полагались на рассылку спама по электронной почте и комплект эксплойтов Bootle для доставки вредоносного ПО на целевые устройства. После периода прерывистой активности Water Kappa, кажется, снова набирает обороты. Новая атака демонстрирует сдвиг в сторону тактики социальной инженерии для распространения усовершенствованной версии банковского трояна Cinobi, который теперь имеет несколько японских веб-сайтов, посвященных криптовалюте, добавленные к предыдущему списку целевых банковских учреждений.

Методы заражения

Хакеры Water Kappa упаковали новые версии банковских троянцев Cinobi в опасное приложение, которое распространяется с помощью поддельной вредоносной рекламы. Скорее всего, киберпреступники взяли несколько законных рекламных объявлений и создали собственные имитации, удалив или изменив определенные детали, например уменьшив количество отображаемых кнопок в рекламе. Затем фальшивая реклама пытается заманить пользователей, делая вид, что предлагает японские анимированные порно-игры, приложения для начисления баллов или приложения для потокового видео. В целом исследователи информационной безопасности рассмотрели пять различных тем. Вся реклама ведет к одному и тому же поврежденному архиву, содержащему банковского трояна Cinobi. Следует отметить, что доступ к целевой странице ZIP-архива ограничен только японскими IP-адресами. Всем остальным отображается сообщение об ошибке от Cloudflare.

Обнаружено несколько версий Cinobi

В ходе недавней кампании по атаке было обнаружено несколько различных версий угрозы. Их общее поведение и конечная цель остались неизменными, и все они полагались на уязвимости боковой загрузки, чтобы загрузить и инициировать угрозу Cinobi. Версии различаются этапами своей операционной цепочки и количеством командно-управляющих (C2) серверов, настроенных для их работы. Один проходит четыре этапа, на каждом из которых доставляется новый компонент и, скорее всего, выполняется проверка на признаки виртуализации. Эта версия имеет 2 сервера C2, один отвечает за этапы 2 и 4, а другой предоставляет файлы конфигурации. Реорганизованная версия угрозы проходит всего 3 этапа и поддерживается одним сервером C2.

Новая кампания по атаке Cinobi еще раз демонстрирует, насколько важно для пользователей быть осторожными при серфинге в Интернете. По возможности избегайте показа подозрительной рекламы и не загружайте файлы из неизвестных или сомнительных источников.