Cinobi Banking Trojan

Cinobi è un Trojan bancario che viene distribuito nelle campagne di attacco contro gli utenti giapponesi. I ricercatori di Trend Micro hanno chiamato il primo attacco "Operazione Overtrap" e l'hanno attribuito a un gruppo che hanno rintracciato sotto "Water Kappa". All'epoca i criminali informatici si affidavano a campagne e-mail di spam e al kit di exploit Bootle per distribuire la minaccia malware sui dispositivi presi di mira. Dopo un periodo di attività intermittente, Water Kappa sembra aumentare ancora una volta. Il nuovo attacco mostra uno spostamento verso tattiche di ingegneria sociale per diffondere una versione evoluta del Trojan bancario Cinobi che ora ha diversi siti Web di criptovaluta giapponesi aggiunti al precedente elenco di istituti bancari presi di mira.

Tecniche di infezione

Gli hacker di Water Kappa hanno impacchettato le nuove versioni del Trojan bancario Cinobi all'interno di un'applicazione minacciosa che viene diffusa tramite falsi malvertisements. Molto probabilmente, i criminali informatici hanno preso diverse pubblicità legittime e hanno creato le proprie imitazioni rimuovendo o modificando alcuni dettagli, come la riduzione del numero di pulsanti visualizzati nell'annuncio. Le pubblicità false cercano quindi di attirare gli utenti fingendo di offrire giochi porno animati giapponesi, applicazioni di punti premio o applicazioni di streaming video. In tutto, i ricercatori di infosec hanno osservato cinque diversi temi. Tutti gli annunci portano allo stesso archivio corrotto che trasporta il Trojan bancario Cinobi. Va notato che l'accesso alla pagina di destinazione per l'archivio ZIP è limitato ai soli indirizzi IP giapponesi. A tutti gli altri viene mostrato un messaggio di errore da Cloudflare.

Rilevate più versioni di Cinobi

Nell'ambito della recente campagna di attacco sono state scoperte un paio di versioni diverse della minaccia. Il loro comportamento generale e l'obiettivo finale sono rimasti coerenti e tutti hanno fatto affidamento sulle vulnerabilità del sideload per caricare e avviare la minaccia Cinobi. Le versioni differiscono nelle fasi della loro catena operativa e nel numero di server Command-and-Control (C2) impostati per il loro funzionamento. Uno passa attraverso quattro fasi, ognuna delle quali fornisce un nuovo componente e molto probabilmente esegue controlli per segni di virtualizzazione. Questa versione ha 2 server C2, uno responsabile delle fasi 2 e 4, mentre l'altro fornisce i file di configurazione. Una versione refactoring della minaccia passa invece attraverso solo 3 fasi ed è supportata da un singolo server C2.

La nuova campagna di attacco Cinobi illustra ancora una volta quanto sia importante per gli utenti essere prudenti durante la navigazione sul web. Evita di interagire con annunci sospetti e non scaricare file da fonti sconosciute o discutibili, se possibile.