CinobiBankingのトロイの木馬が日本のユーザーを追いかける
Cinobi Banking Trojanは、そのオペレーターが日本のユーザーを追いかけた2020年に最初の動きをしました。驚いたことに、彼らはMicrosoft Internet Explorerでのみ機能する2つのエクスプロイトのセットに依存することにより、トロイの木馬の到達範囲を大幅に制限しました。ただし、Cinobi Banking Trojanが再び戻ってきたようで、今回はその背後にあるグループが新しい技術、ツール、およびエクスプロイトを模索しているようです。
最近のキャンペーンは、危険なペイロードを配信するためにソーシャルエンジニアリングとマルバタイジングに大きく依存しています。犯罪者がCinobiBanking Trojanを広めるために使用する偽のコンテンツには、無料のポルノゲーム、偽の報酬ポイントプログラム、ビデオストリーミングに関連するアプリなどがあります。当然のことながら、革新的な感染ベクトルにより、CinobiBankingのトロイの木馬の犠牲者の数は急速に増加しています。この新しいオペレーションのもう1つの変更点は、従来の金融機関だけを対象としていないことです。今回、犯罪者はCinobiを使用して暗号通貨アカウントも盗もうとしています。
CinobiBankingのトロイの木馬サイトが外国のIPをフィルタリングする
キャンペーンが再び日本人ユーザーのみを対象としていることを付け加えることが重要です。ペイロードをホストしているすべてのサイトには、IPフィルターが設定されています。そのため、外国のIPアドレスは、悪意のある広告のいずれかをクリックするとエラーメッセージが表示されます。全体として、Cinobi Banking Trojanは11の日本の金融機関をサポートしており、そのうち3つは暗号通貨の分野でも活動しています。
被害者が感染すると、Cinobiはバックグラウンドで作業を開始し、ユーザーのオンラインアクティビティを監視します。被害者がトロイの木馬が標的とするオンライン金融ポータルの1つにアクセスしようとしたことを検出すると、ペイロードはWebサイトのログインフォームに入力されたものをすべて取得します。データは隠しフォルダーに保存され、Webサイト、日付、ユーザー名、パスワード、セッションID、およびその他の情報が含まれています。
最新のバンキング型トロイの木馬のほとんどはAndroidを標的としていますが、CinobiのようなWindows互換の脅威に遭遇しています。ユーザーは自分のログイン資格情報がサイバー犯罪者に乗っ取られていることに気付かない可能性があるため、これらの攻撃は非常に危険です。彼らは、不正な取引が始まったときに何か問題があることに気付くだけです。 Cinobiトロイの木馬などの脅威がデバイスに到達するのを防ぐための予防策を講じる必要があります。最新のウイルス対策アプリケーションを使用し、不明なサイトやファイルを操作するときも注意してください。信頼できないソースからアプリやインストーラーをダウンロードしないでください。