Cinobi Banking Trojan

Cinobi er en bank trojan, der bliver indsat i angrebskampagner mod japanske brugere. Forskerne ved Trend Micro kaldte det første angreb for 'Operation Overtrap' og tilskrev det til en gruppe, de sporede under 'Water Kappa'. Dengang stolede cyberkriminelle på spam -e -mail -kampagner og Bootle -udnyttelsessættet for at levere malware -truslen til de målrettede enheder. Efter en periode med periodisk aktivitet ser Water Kappa ud til at stige endnu en gang. Det nye angreb viser et skift i retning af social engineering taktik for at sprede en udviklet version af Cinobi banking Trojan, der nu havde flere japanske kryptovaluta -websteder tilføjet til den tidligere liste over målrettede bankinstitutioner.

Infektionsteknikker

Water Kappa -hackerne har pakket de nyere Cinobi -bank -trojanske versioner inde i en truende applikation, der spredes via falske malvertisements. Mest sandsynligt tog cyberkriminelle flere legitime reklamer og skabte deres egne efterligninger ved at fjerne eller ændre visse detaljer, f.eks. At reducere antallet af viste knapper på annoncen. De falske reklamer forsøger derefter at lokke brugerne ved at foregive at tilbyde japanske animerede pornospil, belønningspunkter eller applikationer til videostreaming. I alt er fem forskellige temaer blevet observeret af infosec -forskere. Alle reklamer fører til det samme beskadigede arkiv, der bærer Cinobi -banktrojanen. Det skal bemærkes, at adgangen til destinationssiden for ZIP -arkivet er begrænset til kun japanske IP -adresser. Alle andre får vist en fejlmeddelelse fra Cloudflare.

Flere Cinobi -versioner fundet

Et par forskellige versioner af truslen er blevet opdaget som en del af den seneste angrebskampagne. Deres overordnede adfærd og slutmål er forblevet konsistente, og de stolede alle på sideloading -sårbarheder for at indlæse og starte Cinobi -truslen. Versionerne er forskellige i trinene i deres driftskæde og antallet af Command-and-Control (C2) -servere, der er konfigureret til deres drift. Den ene gennemgår fire faser, der hver leverer en ny komponent og mere end sandsynligt udfører kontrol af tegn på virtualisering. Denne version har 2 C2 -servere, den ene er ansvarlig for trin 2 og 4, mens den anden leverer konfigurationsfilerne. En refaktoreret version af truslen gennemgår i stedet kun 3 faser og understøttes af en enkelt C2 -server.

Den nye Cinobi -angrebskampagne illustrerer endnu en gang, hvor vigtigt det er for brugerne at være forsigtige, når de surfer på nettet. Undgå at engagere dig i mistænkelige annoncer, og download ikke filer fra ukendte eller tvivlsomme kilder, hvis det er muligt.