Cinobi Banking Trojan
सिनोबी एक बैंकिंग ट्रोजन है जिसे जापानी उपयोगकर्ताओं के खिलाफ हमले के अभियानों में तैनात किया जा रहा है। ट्रेंड माइक्रो के शोधकर्ताओं ने पहले हमले को 'ऑपरेशन ओवरट्रैप' नाम दिया और इसे 'वाटर कप्पा' के तहत ट्रैक किए गए एक समूह को जिम्मेदार ठहराया। उस समय साइबर अपराधियों ने लक्षित उपकरणों पर मैलवेयर के खतरे को पहुंचाने के लिए स्पैम ईमेल अभियानों और बूटल शोषण किट पर भरोसा किया था। रुक-रुक कर हो रही गतिविधि के बाद, वाटर कप्पा एक बार फिर तेज होता दिख रहा है। नया हमला सिनोबी बैंकिंग ट्रोजन के विकसित संस्करण को फैलाने के लिए सोशल इंजीनियरिंग रणनीति की ओर एक बदलाव दिखाता है जिसमें अब कई जापानी क्रिप्टोकुरेंसी वेबसाइटें लक्षित बैंकिंग संस्थानों की पिछली सूची में जोड़ दी गई हैं।
संक्रमण तकनीक
वाटर कप्पा हैकर्स ने नए सिनोबी बैंकिंग ट्रोजन संस्करणों को एक खतरनाक एप्लिकेशन के अंदर पैक किया है जो नकली मालवेयर के माध्यम से फैला हुआ है। सबसे अधिक संभावना है, साइबर अपराधियों ने कई वैध विज्ञापन लिए और विज्ञापन पर दिखाए गए बटनों की संख्या को कम करने जैसे कुछ विवरणों को हटाकर या बदलकर अपनी खुद की नकल बनाई। नकली विज्ञापन तब जापानी एनिमेटेड पोर्न गेम, रिवॉर्ड पॉइंट एप्लिकेशन या वीडियो स्ट्रीमिंग एप्लिकेशन पेश करने का नाटक करके उपयोगकर्ताओं को लुभाने की कोशिश करते हैं। कुल मिलाकर, इन्फोसेक शोधकर्ताओं द्वारा पांच अलग-अलग विषयों को देखा गया है। सभी विज्ञापन उसी भ्रष्ट संग्रह की ओर ले जाते हैं जिसमें सिनोबी बैंकिंग ट्रोजन होता है। यह ध्यान दिया जाना चाहिए कि ज़िप संग्रह के लिए लैंडिंग पृष्ठ तक पहुंच केवल जापानी आईपी पते तक ही सीमित है। अन्य सभी को Cloudflare से एक त्रुटि संदेश दिखाया गया है।
एकाधिक Cinobi संस्करण का पता चला
हाल के हमले के अभियान के हिस्से के रूप में खतरे के दो अलग-अलग संस्करणों की खोज की गई है। उनका समग्र व्यवहार और अंतिम लक्ष्य लगातार बना हुआ है और वे सभी सिनोबी खतरे को लोड करने और आरंभ करने के लिए साइडलोडिंग कमजोरियों पर निर्भर थे। संस्करण उनकी संचालन श्रृंखला के चरणों और उनके संचालन के लिए स्थापित कमांड-एंड-कंट्रोल (C2) सर्वरों की संख्या में भिन्न होते हैं। एक चार चरणों से गुजरता है, प्रत्येक एक नया घटक प्रदान करता है और वर्चुअलाइजेशन के संकेतों के लिए संभावित प्रदर्शन से अधिक जांच करता है। इस संस्करण में 2 C2 सर्वर हैं, एक चरण 2 और 4 के लिए जिम्मेदार है, जबकि दूसरा कॉन्फ़िगरेशन फ़ाइलें प्रदान करता है। इसके बजाय खतरे का एक पुन: सक्रिय संस्करण केवल 3 चरणों से गुजरता है और एक एकल C2 सर्वर द्वारा समर्थित है।
नया सिनोबी हमला अभियान एक बार फिर दिखाता है कि वेब पर सर्फिंग करते समय उपयोगकर्ताओं के लिए सतर्क रहना कितना महत्वपूर्ण है। संदिग्ध विज्ञापनों में शामिल होने से बचें और यदि संभव हो तो अज्ञात या संदिग्ध स्रोतों से फ़ाइलें डाउनलोड न करें।
