Cinobi Banking Trojan

Cinobi est un cheval de Troie bancaire qui est déployé dans des campagnes d'attaque contre les utilisateurs japonais. Les chercheurs de Trend Micro ont nommé la première attaque « Opération Overtrap » et l'ont attribuée à un groupe qu'ils ont suivi sous « Water Kappa ». À l'époque, les cybercriminels s'appuyaient sur des campagnes de courrier indésirable et sur le kit d'exploitation Bootle pour diffuser la menace des logiciels malveillants sur les appareils ciblés. Après une période d'activité intermittente, Water Kappa semble reprendre de la vigueur. La nouvelle attaque montre une évolution vers des tactiques d'ingénierie sociale pour diffuser une version évoluée du cheval de Troie bancaire Cinobi qui avait maintenant plusieurs sites Web japonais de crypto-monnaie ajoutés à la liste précédente des institutions bancaires ciblées.

Techniques d'infection

Les pirates de Water Kappa ont empaqueté les nouvelles versions du cheval de Troie bancaire Cinobi dans une application menaçante qui se propage via de fausses publicités malveillantes. Très probablement, les cybercriminels ont pris plusieurs publicités légitimes et ont créé leurs propres imitations en supprimant ou en modifiant certains détails, tels que la réduction du nombre de boutons affichés sur la publicité. Les fausses publicités tentent ensuite d'attirer les utilisateurs en prétendant proposer des jeux pornographiques animés japonais, des applications de points de récompense ou des applications de streaming vidéo. Au total, cinq thèmes différents ont été observés par les chercheurs d'infosec. Toutes les publicités mènent à la même archive corrompue contenant le cheval de Troie bancaire Cinobi. Il convient de noter que l'accès à la page de destination de l'archive ZIP est limité aux seules adresses IP japonaises. Tous les autres reçoivent un message d'erreur de Cloudflare.

Plusieurs versions de Cinobi détectées

Deux versions différentes de la menace ont été découvertes dans le cadre de la récente campagne d'attaque. Leur comportement global et leur objectif final sont restés cohérents et ils se sont tous appuyés sur des vulnérabilités de chargement latéral pour charger et lancer la menace Cinobi. Les versions diffèrent par les étapes de leur chaîne d'exploitation et le nombre de serveurs de commandement et de contrôle (C2) mis en place pour leur fonctionnement. On passe par quatre étapes, chacune fournissant un nouveau composant et effectuant plus que probablement des vérifications des signes de virtualisation. Cette version dispose de 2 serveurs C2, l'un responsable des étapes 2 et 4, tandis que l'autre fournit les fichiers de configuration. Une version refactorisée de la menace ne passe à la place que par 3 étapes et est prise en charge par un seul serveur C2.

La nouvelle campagne d'attaques de Cinobi illustre une fois de plus à quel point il est important pour les utilisateurs d'être prudents lorsqu'ils surfent sur le Web. Évitez de vous engager avec des publicités suspectes et ne téléchargez pas de fichiers provenant de sources inconnues ou douteuses, si possible.