Cinobi Banking Trojan

O Cinobi é um Trojan bancário que está sendo implantado em campanhas de ataque contra usuários japoneses. Pesquisadores chamaram o primeiro ataque de 'Operação Overtrap' e o atribuíram a um grupo que eles rastrearam em 'Water Kappa'. Naquela época, os cibercriminosos dependiam de campanhas de e-mail de spam e do kit de exploração Bootle para entregar a ameaça de malware aos dispositivos visados. Após um período de atividade intermitente, o Water Kappa parece estar aumentando mais uma vez. O novo ataque mostra uma mudança nas táticas de engenharia social para espalhar uma versão evoluída do cavalo de Troia bancário Cinobi, que agora tinha vários sites de criptomoedas japoneses adicionados à lista anterior de instituições bancárias visadas.

Técnicas de Infecção

Os hackers do Water Kappa empacotaram as versões mais recentes doTrojan bancário Cinobi dentro de um aplicativo ameaçador que é espalhado por falsos malvertisements. Provavelmente, os cibercriminosos pegaram vários anúncios legítimos e criaram suas próprias imitações, removendo ou alterando certos detalhes, como a redução do número de botões exibidos no anúncio. Os anúncios falsos tentam atrair os usuários fingindo oferecer jogos japoneses de animação pornográfica, aplicativos de pontos de recompensa ou aplicativos de streaming de vídeo. Ao todo, cinco temas diferentes foram observados pelos pesquisadores da infosec. Todos os anúncios levam ao mesmo arquivo corrompido que contém o Trojan bancário Cinobi. Deve-se observar que o acesso à página de destino do arquivo ZIP é limitado apenas a endereços IP japoneses. Todos os outros recebem uma mensagem de erro do Cloudflare.

Várias Versões do Cinobi Foram Detectadas

Algumas versões diferentes da ameaça foram descobertas como parte da recente campanha de ataque. Seu comportamento geral e objetivo final permaneceram consistentes e todos eles confiaram em vulnerabilidades de sideload para carregar e iniciar a ameaça Cinobi. As versões diferem nos estágios de sua cadeia de operação e no número de servidores de Comando e Controle (C2) configurados para sua operação. Um passa por quatro estágios, cada um entregando um novo componente e, mais do que provavelmente, realizando verificações de sinais de virtualização. Esta versão possui 2 servidores C2, sendo um responsável pelos estágios 2 e 4, enquanto o outro fornece os arquivos de configuração. Em vez disso, uma versão refatorada da ameaça passa por apenas 3 estágios e é suportada por um único servidor C2.

A nova campanha de ataque do Cinobi ilustra mais uma vez como é importante para os usuários serem cautelosos ao navegar na Web. Evite se envolver com anúncios suspeitos e não baixe arquivos de fontes desconhecidas ou questionáveis, se possível.