Cinobi Banking Trojan

Cinobi Banking Trojan Opis

Cinobi to trojan bankowy wdrażany w kampaniach ataków na japońskich użytkowników. Naukowcy z Trend Micro nazwali pierwszy atak „Operacją Overtrap” i przypisali go grupie, którą śledzili, pod hasłem „Water Kappa”. W tamtych czasach cyberprzestępcy polegali na kampaniach spamowych e-mail i zestawie exploitów Bootle, aby dostarczać zagrożenie złośliwym oprogramowaniem na zaatakowane urządzenia. Po okresie przerywanej aktywności, Water Kappa wydaje się ponownie nabierać tempa. Nowy atak pokazuje zmianę w kierunku taktyki socjotechniki w celu rozprzestrzeniania rozwiniętej wersji trojana bankowego Cinobi, do którego dodano kilka japońskich witryn kryptowalutowych do poprzedniej listy atakowanych instytucji bankowych.

Techniki infekcji

Hakerzy Water Kappa umieścili nowsze wersje trojana bankowego Cinobi w groźnej aplikacji, która jest rozpowszechniana za pośrednictwem fałszywych złośliwych reklam. Najprawdopodobniej cyberprzestępcy wzięli kilka legalnych reklam i stworzyli własne imitacje, usuwając lub zmieniając pewne szczegóły, takie jak zmniejszenie liczby wyświetlanych przycisków w reklamie. Fałszywe reklamy następnie próbują zwabić użytkowników, udając, że oferują japońskie animowane gry porno, aplikacje z punktami nagród lub aplikacje do przesyłania strumieniowego wideo. W sumie badacze infosec zaobserwowali pięć różnych tematów. Wszystkie reklamy prowadzą do tego samego uszkodzonego archiwum zawierającego trojana bankowego Cinobi. Należy zauważyć, że dostęp do strony docelowej archiwum ZIP jest ograniczony tylko do japońskich adresów IP. Wszystkim innym wyświetlany jest komunikat o błędzie z Cloudflare.

Wykryto wiele wersji Cinobi

W ramach niedawnej kampanii ataku odkryto kilka różnych wersji zagrożenia. Ich ogólne zachowanie i cel końcowy pozostały spójne, a wszyscy polegali na lukach sideloading w celu załadowania i zainicjowania zagrożenia Cinobi. Wersje różnią się etapami łańcucha operacji oraz liczbą serwerów Command-and-Control (C2) skonfigurowanych do ich działania. Jeden z nich przechodzi przez cztery etapy, z których każdy dostarcza nowy komponent i najprawdopodobniej przeprowadza kontrole pod kątem oznak wirtualizacji. Ta wersja posiada 2 serwery C2, jeden odpowiedzialny za etapy 2 i 4, a drugi dostarcza pliki konfiguracyjne. Zamiast tego zrefaktorowana wersja zagrożenia przechodzi tylko 3 etapy i jest obsługiwana przez jeden serwer C2.

Nowa kampania ataków Cinobi po raz kolejny pokazuje, jak ważne jest, aby użytkownicy byli ostrożni podczas surfowania w sieci. Unikaj angażowania się w podejrzane reklamy i nie pobieraj plików z nieznanych lub wątpliwych źródeł, jeśli to możliwe.