Cinobi Banking Trojan

Cinobi is een banktrojan die wordt ingezet in aanvalscampagnes tegen Japanse gebruikers. De onderzoekers van Trend Micro noemden de eerste aanval 'Operation Overtrap' en schreven deze toe aan een groep die ze volgden onder 'Water Kappa'. Destijds vertrouwden de cybercriminelen op spam-e-mailcampagnes en de Bootle-exploitkit om de malwaredreiging op de beoogde apparaten te brengen. Na een periode van intermitterende activiteit lijkt Water Kappa weer op gang te komen. De nieuwe aanval toont een verschuiving naar social engineering-tactieken om een geëvolueerde versie van de Cinobi banking-trojan te verspreiden, waaraan nu verschillende Japanse cryptocurrency-websites zijn toegevoegd aan de vorige lijst van gerichte bankinstellingen.

Infectietechnieken

De hackers van Water Kappa hebben de nieuwere Cinobi banking Trojan-versies verpakt in een bedreigende applicatie die wordt verspreid via valse malvertisements. Hoogstwaarschijnlijk hebben de cybercriminelen verschillende legitieme advertenties gebruikt en hun eigen imitaties gemaakt door bepaalde details te verwijderen of te wijzigen, zoals het verminderen van het aantal weergegeven knoppen op de advertentie. De nepadvertenties proberen vervolgens gebruikers te lokken door te doen alsof ze Japanse geanimeerde pornogames, beloningspunten-applicaties of videostreaming-applicaties aanbieden. In totaal zijn vijf verschillende thema's waargenomen door infosec-onderzoekers. Alle advertenties leiden naar hetzelfde corrupte archief met de Cinobi banking-trojan. Opgemerkt moet worden dat de toegang tot de bestemmingspagina voor het ZIP-archief beperkt is tot alleen Japanse IP-adressen. Alle anderen krijgen een foutmelding van Cloudflare te zien.

Meerdere Cinobi-versies gedetecteerd

Een aantal verschillende versies van de dreiging zijn ontdekt als onderdeel van de recente aanvalscampagne. Hun algemene gedrag en einddoel zijn consistent gebleven en ze vertrouwden allemaal op sideloading-kwetsbaarheden om de Cinobi-dreiging te laden en te starten. De versies verschillen in de stadia van hun operatieketen en het aantal Command-and-Control (C2) -servers dat is ingesteld voor hun werking. Men doorloopt vier fasen, die elk een nieuw onderdeel opleveren en meer dan waarschijnlijk controles uitvoeren op tekenen van virtualisatie. Deze versie heeft 2 C2-servers, één verantwoordelijk voor fase 2 en 4, terwijl de andere de configuratiebestanden levert. Een geherstructureerde versie van de dreiging doorloopt in plaats daarvan slechts 3 fasen en wordt ondersteund door een enkele C2-server.

De nieuwe aanvalscampagne van Cinobi illustreert eens te meer hoe belangrijk het is dat gebruikers voorzichtig zijn bij het surfen op het web. Vermijd interactie met verdachte advertenties en download, indien mogelijk, geen bestanden van onbekende of twijfelachtige bronnen.