Cinobi银行木马

Cinobi银行木马说明

Cinobi 是一种银行木马,被部署在针对日本用户的攻击活动中。 Trend Micro 的研究人员将第一次攻击命名为“Operation Overtrap”,并将其归因于他们在“Water Kappa”下追踪的一个群体。当时,网络犯罪分子依靠垃圾邮件活动和 Bootle 漏洞利用工具包将恶意软件威胁传递到目标设备上。经过一段时间的间歇性活动后,Water Kappa 似乎再次上升。新的攻击显示了向社会工程策略的转变,以传播 Cinobi 银行木马的进化版本,该木马现在已将几个日本加密货币网站添加到先前的目标银行机构列表中。

感染技术

Water Kappa 黑客已将较新的 Cinobi 银行木马版本打包到一个通过虚假恶意广告传播的威胁应用程序中。最有可能的是,网络犯罪分子通过删除或更改某些细节(例如减少广告上显示的按钮数量)来制作几个合法广告并创建自己的模仿。然后,虚假广告试图通过假装提供日本动画色情游戏、奖励积分应用程序或视频流应用程序来吸引用户。信息安全研究人员总共观察到了五个不同的主题。所有的广告都指向同一个带有 Cinobi 银行木马的损坏档案。应该注意的是,访问 ZIP 存档的登录页面仅限于日本 IP 地址。所有其他人都显示来自 Cloudflare 的错误消息。

检测到多个 Cinobi 版本

作为最近的攻击活动的一部分,已经发现了几个不同版本的威胁。他们的整体行为和最终目标保持一致,他们都依赖侧加载漏洞来加载和启动 Cinobi 威胁。这些版本的不同之处在于其操作链的阶段以及为其操作设置的命令和控制 (C2) 服务器的数量。一个经历四个阶段,每个阶段交付一个新组件,并且很可能执行虚拟化迹象检查。此版本有 2 个 C2 服务器,一个负责阶段 2 和 4,而另一个提供配置文件。相反,威胁的重构版本仅经历 3 个阶段,并由单个 C2 服务器支持。

新的 Cinobi 攻击活动再次说明了用户在网上冲浪时保持谨慎的重要性。如果可能,请避免使用可疑广告,并且不要从未知或可疑来源下载文件。