Cinobi Banking Trojan

Cinobi är en banktrojan som används i attackkampanjer mot japanska användare. Forskarna på Trend Micro kallade den första attacken för 'Operation Overtrap' och tillskrev den till en grupp som de spårade under 'Water Kappa'. Då förlitade cyberkriminella sig på spam -e -postkampanjer och Bootle -exploateringssatsen för att leverera hotet mot skadlig kod på de riktade enheterna. Efter en period av intermittent aktivitet verkar Water Kappa öka ytterligare en gång. Den nya attacken visar ett skifte mot social engineering -taktik för att sprida en utvecklad version av Cinobi -banktrojanen som nu hade flera japanska kryptovaluta -webbplatser tillagda till den tidigare listan över riktade bankinstitut.

Infektionsteknik

Water Kappa -hackarna har förpackat de nyare trojanska versionerna av Cinobi -banker i en hotfull applikation som sprids via falska felaktiga uppgifter. Mest troligt tog cyberkriminella flera legitima annonser och skapade sina egna imitationer genom att ta bort eller ändra vissa detaljer, till exempel att minska antalet visade knappar på annonsen. De falska annonserna försöker sedan locka användare genom att låtsas erbjuda japanska animerade porrspel, belöningspoängprogram eller videostreamingsapplikationer. Totalt har fem olika teman observerats av infosec -forskare. Alla annonser leder till samma skadade arkiv som bär Cinobi -banktrojanen. Det bör noteras att tillgången till målsidan för ZIP -arkivet är begränsad till endast japanska IP -adresser. Alla andra visas ett felmeddelande från Cloudflare.

Flera Cinobi -versioner har upptäckts

Ett par olika versioner av hotet har upptäckts som en del av den senaste attackkampanjen. Deras övergripande beteende och slutmål har förblivit konsekventa och de förlitade sig alla på sidladdningssårbarheter för att ladda och initiera Cinobi -hotet. Versionerna skiljer sig åt i stadierna i deras operationskedja och antalet Command-and-Control (C2) -servrar som är konfigurerade för deras drift. En går igenom fyra steg, var och en levererar en ny komponent och utför mer än troligt kontroller för tecken på virtualisering. Denna version har 2 C2 -servrar, en ansvarig för steg 2 och 4, medan den andra tillhandahåller konfigurationsfilerna. En refaktorerad version av hotet går istället endast genom tre steg och stöds av en enda C2 -server.

Den nya Cinobi -attackkampanjen illustrerar återigen hur viktigt det är för användare att vara försiktiga när de surfar på webben. Undvik att engagera dig i misstänkta annonser och ladda inte ner filer från okända eller tvivelaktiga källor, om möjligt.