Cinobi Banking-Trojaner

Cinobi ist ein Banking-Trojaner, der in Angriffskampagnen gegen japanische Benutzer eingesetzt wird. Die Forscher von Trend Micro nannten den ersten Angriff „Operation Overtrap“ und führten ihn einer Gruppe zu, die sie unter „Water Kappa“ verfolgten. Damals verließen sich die Cyberkriminellen auf Spam-E-Mail-Kampagnen und das Bootle-Exploit-Kit, um die Malware-Bedrohung auf die Zielgeräte zu übertragen. Nach einer Phase zeitweiliger Aktivität scheint Water Kappa wieder anzusteigen. Der neue Angriff zeigt eine Verschiebung hin zu Social-Engineering-Taktiken, um eine weiterentwickelte Version des Cinobi-Banking-Trojaners zu verbreiten, bei dem nun mehrere japanische Kryptowährungs-Websites zur vorherigen Liste der anvisierten Bankinstitute hinzugefügt wurden.

Infektionstechniken

Die Hacker von Water Kappa haben die neueren Cinobi-Banking-Trojaner-Versionen in eine bedrohliche Anwendung gepackt, die über gefälschte Malvertisements verbreitet wird. Höchstwahrscheinlich haben die Cyberkriminellen mehrere legitime Anzeigen genommen und ihre eigenen Imitationen erstellt, indem sie bestimmte Details entfernt oder geändert haben, z. B. haben sie die Anzahl der angezeigten Schaltflächen in der Anzeige verringert. Die gefälschten Anzeigen versuchen dann, Benutzer zu locken, indem sie vorgeben, japanische animierte Pornospiele, Belohnungspunkte-Anwendungen oder Video-Streaming-Anwendungen anzubieten. Insgesamt wurden fünf verschiedene Themen von den infosec-Forschern beobachtet. Alle Anzeigen führen zu demselben beschädigten Archiv, das den Banking-Trojaner Cinobi enthält. Zu beachten ist, dass der Zugriff auf die Landingpage für das ZIP-Archiv nur auf japanische IP-Adressen beschränkt ist. Allen anderen wird eine Fehlermeldung von Cloudflare angezeigt.

Mehrere Cinobi-Versionen erkannt

Im Rahmen der jüngsten Angriffskampagne wurden mehrere verschiedene Versionen der Bedrohung entdeckt. Ihr Gesamtverhalten und ihr Endziel sind konsistent geblieben und sie alle verließen sich auf Sideloading-Schwachstellen, um die Cinobi-Bedrohung zu laden und zu initiieren. Die Versionen unterscheiden sich in den Stufen ihrer Betriebskette und der Anzahl der für ihren Betrieb eingerichteten Command-and-Control (C2)-Server. Eine durchläuft vier Phasen, von denen jede eine neue Komponente liefert und höchstwahrscheinlich Prüfungen auf Anzeichen einer Virtualisierung durchführt. Diese Version verfügt über 2 C2-Server, von denen einer für die Stufen 2 und 4 zuständig ist, während der andere die Konfigurationsdateien bereitstellt. Eine umgestaltete Version der Bedrohung durchläuft stattdessen nur 3 Stufen und wird von einem einzigen C2-Server unterstützt.

Die neue Angriffskampagne von Cinobi zeigt einmal mehr, wie wichtig es ist, dass Nutzer beim Surfen im Internet vorsichtig sind. Vermeiden Sie verdächtige Anzeigen und laden Sie nach Möglichkeit keine Dateien aus unbekannten oder fragwürdigen Quellen herunter.