Cinobi Banking Trojan

Cinobi es un troyano bancario que se implementa en campañas de ataque contra usuarios japoneses. Los investigadores de Trend Micro nombraron el primer ataque "Operación Overtrap" y lo atribuyeron a un grupo que rastrearon bajo "Water Kappa". En aquel entonces, los ciberdelincuentes se basaban en campañas de correo electrónico no deseado y el kit de explotación Bootle para enviar la amenaza de malware a los dispositivos objetivo. Después de un período de actividad intermitente, Water Kappa parece estar aumentando una vez más. El nuevo ataque muestra un cambio hacia tácticas de ingeniería social para difundir una versión evolucionada del troyano bancario Cinobi que ahora tenía varios sitios web japoneses de criptomonedas agregados a la lista anterior de instituciones bancarias objetivo.

Técnicas de infección

Los piratas informáticos Water Kappa han empaquetado las versiones más nuevas del troyano bancario Cinobi dentro de una aplicación amenazante que se propaga a través de publicidad maliciosa falsa. Lo más probable es que los ciberdelincuentes tomaron varios anuncios legítimos y crearon sus propias imitaciones eliminando o cambiando ciertos detalles, como reducir la cantidad de botones mostrados en el anuncio. Luego, los anuncios falsos intentan atraer a los usuarios pretendiendo ofrecer juegos porno animados japoneses, aplicaciones de puntos de recompensa o aplicaciones de transmisión de video. En total, los investigadores de infosec han observado cinco temas diferentes. Todos los anuncios conducen al mismo archivo corrupto que contiene el troyano bancario Cinobi. Cabe señalar que el acceso a la página de destino del archivo ZIP está limitado solo a direcciones IP japonesas. A todos los demás se les muestra un mensaje de error de Cloudflare.

Varias versiones de Cinobi detectadas

Se han descubierto un par de versiones diferentes de la amenaza como parte de la reciente campaña de ataque. Su comportamiento general y su objetivo final se han mantenido constantes y todos confiaron en la descarga lateral de vulnerabilidades para cargar e iniciar la amenaza Cinobi. Las versiones difieren en las etapas de su cadena de operación y el número de servidores de Comando y Control (C2) configurados para su operación. Uno pasa por cuatro etapas, cada una de las cuales entrega un nuevo componente y es muy probable que realice comprobaciones en busca de signos de virtualización. Esta versión cuenta con 2 servidores C2, uno responsable de las etapas 2 y 4, mientras que el otro proporciona los archivos de configuración. En cambio, una versión refactorizada de la amenaza pasa por solo 3 etapas y es compatible con un solo servidor C2.

La nueva campaña de ataques de Cinobi ilustra una vez más lo importante que es que los usuarios sean cautelosos al navegar por la web. Evite interactuar con anuncios sospechosos y no descargue archivos de fuentes desconocidas o cuestionables, si es posible.