Cinobi Banking Trojan

Cinobi, Japon kullanıcılara yönelik saldırı kampanyalarında kullanılan bir bankacılık Truva Atı'dır. Trend Micro'daki araştırmacılar, ilk saldırıya 'Operation Overtrap' adını verdiler ve bunu 'Water Kappa' altında izledikleri bir gruba bağladılar. O zamanlar siber suçlular, kötü amaçlı yazılım tehdidini hedeflenen cihazlara iletmek için spam e-posta kampanyalarına ve Bootle istismar kitine güveniyordu. Aralıklı bir faaliyet döneminden sonra, Water Kappa bir kez daha hızlanıyor gibi görünüyor. Yeni saldırı, Cinobi bankacılık Truva Atı'nın gelişmiş bir versiyonunu yaymak için sosyal mühendislik taktiklerine doğru bir kayma olduğunu gösteriyor ve şimdi birkaç Japon kripto para birimi web sitesi önceki hedeflenen bankacılık kurumları listesine eklendi.

Enfeksiyon Teknikleri

Water Kappa bilgisayar korsanları, daha yeni Cinobi bankacılık Truva Atı sürümlerini, sahte kötü amaçlı reklamlar yoluyla yayılan tehdit edici bir uygulama içinde paketlediler. Büyük olasılıkla, siber suçlular birkaç meşru reklam aldı ve reklamda gösterilen düğmelerin sayısını azaltmak gibi belirli ayrıntıları kaldırarak veya değiştirerek kendi taklitlerini oluşturdular. Sahte reklamlar daha sonra Japon animasyonlu porno oyunları, ödül puanı uygulamaları veya video akışı uygulamaları sunuyormuş gibi davranarak kullanıcıları cezbetmeye çalışır. Toplamda, infosec araştırmacıları tarafından beş farklı tema gözlemlendi. Tüm reklamlar, Cinobi bankacılık Truva Atı'nı taşıyan aynı bozuk arşive yönlendiriyor. ZIP arşivinin açılış sayfasına erişimin yalnızca Japonca IP adresleriyle sınırlı olduğu unutulmamalıdır. Diğerlerine Cloudflare'den bir hata mesajı gösterilir.

Birden Fazla Cinobi Sürümü Algılandı

Son saldırı kampanyasının bir parçası olarak tehdidin birkaç farklı versiyonu keşfedildi. Genel davranışları ve nihai hedefleri tutarlı kaldı ve hepsi Cinobi tehdidini yüklemek ve başlatmak için yandan yükleme güvenlik açıklarına güveniyordu. Sürümler, operasyon zincirlerinin aşamaları ve operasyonları için kurulan Komuta ve Kontrol (C2) sunucularının sayısı bakımından farklılık gösterir. Biri, her biri yeni bir bileşen sunan ve sanallaştırma belirtileri için büyük olasılıkla kontroller gerçekleştiren dört aşamadan geçer. Bu sürüm, biri 2. ve 4. aşamalardan sorumlu, diğeri ise yapılandırma dosyalarını sağlayan 2 C2 sunucusuna sahiptir. Tehdidin yeniden düzenlenmiş bir sürümü bunun yerine yalnızca 3 aşamadan geçer ve tek bir C2 sunucusu tarafından desteklenir.

Yeni Cinobi saldırı kampanyası, kullanıcıların internette gezinirken dikkatli olmasının ne kadar önemli olduğunu bir kez daha gösteriyor. Şüpheli reklamlardan kaçının ve mümkünse bilinmeyen veya şüpheli kaynaklardan dosya indirmeyin.