Cinobi銀行木馬

Cinobi銀行木馬說明

Cinobi 是一種銀行木馬,被部署在針對日本用戶的攻擊活動中。 Trend Micro 的研究人員將第一次攻擊命名為“Operation Overtrap”,並將其歸因於他們在“Water Kappa”下追踪的一個群體。當時,網絡犯罪分子依靠垃圾郵件活動和 Bootle 漏洞利用工具包將惡意軟件威脅傳遞到目標設備上。經過一段時間的間歇性活動後,Water Kappa 似乎再次上升。新的攻擊顯示了向社會工程策略的轉變,以傳播 Cinobi 銀行木馬的進化版本,該木馬現在已將幾個日本加密貨幣網站添加到先前的目標銀行機構列表中。

感染技術

Water Kappa 黑客已將較新的 Cinobi 銀行木馬版本打包到一個通過虛假惡意廣告傳播的威脅應用程序中。最有可能的是,網絡犯罪分子通過刪除或更改某些細節(例如減少廣告上顯示的按鈕數量)來製作幾個合法廣告並創建自己的模仿。然後,虛假廣告試圖通過假裝提供日本動畫色情遊戲、獎勵積分應用程序或視頻流應用程序來吸引用戶。信息安全研究人員總共觀察到了五個不同的主題。所有的廣告都指向同一個帶有 Cinobi 銀行木馬的損壞檔案。應該注意的是,訪問 ZIP 存檔的登錄頁面僅限於日本 IP 地址。所有其他人都顯示來自 Cloudflare 的錯誤消息。

檢測到多個 Cinobi 版本

作為最近的攻擊活動的一部分,已經發現了幾個不同版本的威脅。他們的整體行為和最終目標保持一致,他們都依賴側加載漏洞來加載和啟動 Cinobi 威脅。這些版本的不同之處在於其操作鏈的階段以及為其操作設置的命令和控制 (C2) 服務器的數量。一個經歷四個階段,每個階段交付一個新組件,並且很可能執行虛擬化跡象檢查。此版本有 2 個 C2 服務器,一個負責階段 2 和 4,而另一個提供配置文件。相反,威脅的重構版本僅經歷 3 個階段,並由單個 C2 服務器支持。

新的 Cinobi 攻擊活動再次說明了用戶在網上沖浪時保持謹慎的重要性。如果可能,請避免使用可疑廣告,並且不要從未知或可疑來源下載文件。