CinobiBankingトロイの木馬

Cinobiは、日本のユーザーに対する攻撃キャンペーンで展開されているバンキング型トロイの木馬です。トレンドマイクロの研究者は、最初の攻撃を「オペレーションオーバートラップ」と名付け、「ウォーターカッパ」の下で追跡したグループに起因すると考えました。当時、サイバー犯罪者はスパムメールキャンペーンとBootleエクスプロイトキットを利用して、マルウェアの脅威を標的のデバイスに配信していました。断続的な活動の期間の後、ウォーターカッパは再び上昇しているように見えます。新しい攻撃は、ターゲットとなる銀行機関の以前のリストにいくつかの日本の暗号通貨Webサイトが追加された、Cinobiバンキングトロイの木馬の進化版を広めるためのソーシャルエンジニアリング戦術へのシフトを示しています。

感染テクニック

Water Kappaハッカーは、偽のマルバタイジングを介して拡散する脅迫的なアプリケーション内に、新しいCinobiバンキング型トロイの木馬バージョンをパッケージ化しました。ほとんどの場合、サイバー犯罪者はいくつかの正当な広告を取り、広告に表示されるボタンの数を減らすなど、特定の詳細を削除または変更することによって独自の模倣を作成しました。次に、偽の広告は、日本のアニメ化されたポルノゲーム、報酬ポイントアプリケーション、またはビデオストリーミングアプリケーションを提供しているふりをして、ユーザーを誘惑しようとします。全部で、5つの異なるテーマがinfosecの研究者によって観察されました。すべての広告は、Cinobiバンキングトロイの木馬を運ぶ同じ破損したアーカイブにつながります。 ZIPアーカイブのランディングページへのアクセスは、日本のIPアドレスのみに制限されていることに注意してください。他のすべてには、Cloudflareからのエラーメッセージが表示されます。

複数のCinobiバージョンが検出されました

最近の攻撃キャンペーンの一環として、いくつかの異なるバージョンの脅威が発見されました。それらの全体的な動作と最終目標は一貫しており、Cinobiの脅威をロードして開始するために、すべてサイドローディングの脆弱性に依存していました。バージョンは、操作チェーンの段階と、操作用にセットアップされたコマンドアンドコントロール（C2）サーバーの数が異なります。 1つは4つの段階を経て、それぞれが新しいコンポーネントを提供し、仮想化の兆候のチェックを実行する可能性が高くなります。このバージョンには2つのC2サーバーがあり、1つはステージ2と4を担当し、もう1つは構成ファイルを提供します。代わりに、脅威のリファクタリングされたバージョンは3つの段階のみを通過し、単一のC2サーバーによってサポートされます。

新しいCinobi攻撃キャンペーンは、ユーザーがWebサーフィンをするときに注意することがいかに重要であるかをもう一度示しています。可能であれば、疑わしい広告を使用したり、不明なソースや疑わしいソースからファイルをダウンロードしたりしないでください。