Cinobi Banking Trojan

Cinobi е банков троянец, който се използва в кампании за атака срещу японски потребители. Изследователите от Trend Micro нарекоха първата атака „Operation Overtrap“ и я приписаха на група, която проследиха под „Water Kappa“. Тогава киберпрестъпниците разчитаха на спам имейл кампании и Bootle exploit kit, за да доставят заплахата от злонамерен софтуер на целевите устройства. След период на периодична активност, Water Kappa изглежда отново се увеличава. Новата атака показва преминаване към тактиката на социалното инженерство, за да се разпространи еволюираната версия на банковия троянец Cinobi, който сега имаше няколко японски уебсайта за криптовалута, добавени към предишния списък с целеви банкови институции.

Техники на заразяване

Хакерите на Water Kappa са опаковали по -новите банкови троянски версии на Cinobi в заплашително приложение, което се разпространява чрез фалшиви злонамерени реклами. Най -вероятно киберпрестъпниците са взели няколко законни реклами и са създали свои имитации, като са премахнали или сменили някои детайли, като например намаляват броя на показаните бутони в рекламата. След това фалшивите реклами се опитват да привлекат потребителите, като се преструват, че предлагат японски анимирани порно игри, приложения за наградни точки или приложения за стрийминг на видео. Общо пет различни теми са наблюдавани от изследователи на инфосек. Всички реклами водят до един и същ корумпиран архив, съдържащ банков троянец Cinobi. Трябва да се отбележи, че достъпът до целевата страница за ZIP архива е ограничен само до японски IP адреси. На всички останали се показва съобщение за грешка от Cloudflare.

Открити са няколко версии на Cinobi

Няколко различни версии на заплахата бяха открити като част от неотдавнашната атака. Тяхното цялостно поведение и крайна цел остават последователни и всички те разчитат на странични уязвимости, за да заредят и инициират заплахата от Cinobi. Версиите се различават по етапите на своята операционна верига и броя на сървърите за управление и управление (C2), създадени за тяхната работа. Човек преминава през четири етапа, всеки от които доставя нов компонент и повече от вероятно извършва проверки за признаци на виртуализация. Тази версия има 2 C2 сървъра, единият отговаря за етапи 2 и 4, а другият предоставя конфигурационните файлове. Преработената версия на заплахата преминава само през 3 етапа и се поддържа от един C2 сървър.

Новата кампания за атака на Cinobi илюстрира за пореден път колко е важно потребителите да бъдат предпазливи, когато сърфират в мрежата. Избягвайте ангажиране със съмнителни реклами и не изтегляйте файлове от неизвестни или съмнителни източници, ако е възможно.