Cinobi 뱅킹 트로이 목마

Cinobi는 일본 사용자에 대한 공격 캠페인에 배포되는 뱅킹 트로이 목마입니다. Trend Micro의 연구원은 첫 번째 공격의 이름을 'Operation Overtrap'으로 지정하고 'Water Kappa'에서 추적한 그룹의 공격으로 간주했습니다. 당시 사이버 범죄자들은 스팸 이메일 캠페인과 Bootle 익스플로잇 킷에 의존하여 대상 장치에 악성 코드 위협을 전달했습니다. 간헐적인 활동 기간이 지나면 Water Kappa가 다시 한 번 증가하는 것으로 보입니다. 이 새로운 공격은 여러 일본 암호화폐 웹사이트가 이전 표적 은행 기관 목록에 추가된 진화된 버전의 Cinobi 은행 트로이 목마를 확산하기 위한 사회 공학 전술로의 전환을 보여줍니다.

감염 기술

Water Kappa 해커는 가짜 악성 광고를 통해 확산되는 위협적인 애플리케이션 내부에 최신 Cinobi 뱅킹 트로이 목마 버전을 패키징했습니다. 사이버 범죄자들은 합법적인 광고 몇 개를 가져와 광고에 표시되는 버튼의 수를 줄이는 것과 같은 특정 세부 정보를 제거하거나 변경하여 자신만의 모방을 만들었을 가능성이 큽니다. 그런 다음 가짜 광고는 일본 애니메이션 포르노 게임, 보상 포인트 응용 프로그램 또는 비디오 스트리밍 응용 프로그램을 제공하는 척하여 사용자를 유인합니다. 전체적으로 5가지 다른 주제가 infosec 연구자에 의해 관찰되었습니다. 모든 광고는 Cinobi 뱅킹 트로이 목마를 운반하는 동일한 손상된 아카이브로 이어집니다. ZIP 아카이브의 방문 페이지에 대한 액세스는 일본 IP 주소로만 제한된다는 점에 유의해야 합니다. 다른 모든 항목에는 Cloudflare의 오류 메시지가 표시됩니다.

여러 Cinobi 버전이 감지되었습니다.

최근 공격 캠페인의 일부로 위협의 몇 가지 다른 버전이 발견되었습니다. 그들의 전반적인 행동과 최종 목표는 일관되게 유지되었으며 모두 Cinobi 위협을 로드하고 시작하기 위해 취약점을 사이드로딩하는 데 의존했습니다. 버전은 운영 체인의 단계와 운영을 위해 설정된 명령 및 제어(C2) 서버의 수에 따라 다릅니다. 하나는 4단계를 거칩니다. 각 단계는 새로운 구성 요소를 제공하고 가상화 징후에 대한 검사를 수행할 가능성이 높습니다. 이 버전에는 2개의 C2 서버가 있으며 하나는 2단계와 4단계를 담당하고 다른 하나는 구성 파일을 제공합니다. 위협의 리팩터링된 버전은 대신 3단계만 거치며 단일 C2 서버에서 지원됩니다.

새로운 Cinobi 공격 캠페인은 사용자가 웹 서핑을 할 때 주의가 얼마나 중요한지를 다시 한 번 보여줍니다. 의심스러운 광고에 참여하지 말고 가능하면 알 수 없거나 의심스러운 출처에서 파일을 다운로드하지 마십시오.