Cavalo de Troia Cinobi Banking persegue usuários no Japão

O cavalo de Tróia Cinobi Banking fez seus primeiros movimentos em 2020, quando seus operadores foram atrás de usuários no Japão. Surpreendentemente, eles limitaram severamente o alcance do Trojan, contando com um conjunto de dois exploits, que só funcionavam no Microsoft Internet Explorer. No entanto, parece que o cavalo de Troia Cinobi Banking está de volta mais uma vez e, desta vez, o grupo por trás dele parece estar explorando novas técnicas, ferramentas e explorações.

A campanha recente depende fortemente de engenharia social e malvertising para entregar a perigosa carga útil. Alguns dos conteúdos falsos que os criminosos usam para espalhar o cavalo de Tróia Cinobi Banking incluem jogos pornográficos gratuitos, programas falsos de pontos de recompensa e aplicativos relacionados ao streaming de vídeo. Naturalmente, os vetores de infecção inovadores aumentaram rapidamente o número de vítimas do cavalo de Troia Cinobi Banking. Outra mudança nessa nova operação é que eles não estão voltados apenas para as instituições financeiras tradicionais. Desta vez, os criminosos estão usando o Cinobi para tentar roubar contas de criptomoedas também.

Sites de cavalo de Troia do Cinobi Banking filtram IPs não japoneses

É importante acrescentar que a campanha mais uma vez visa exclusivamente usuários japoneses. Todos os sites que hospedam a carga útil tiveram um filtro de IP configurado. Por causa disso, os endereços IP não japoneses verão uma mensagem de erro se clicarem em qualquer um dos anúncios maliciosos. No geral, o cavalo de Tróia Cinobi Banking oferece suporte a 11 instituições financeiras japonesas, três das quais também atuam no campo de criptomoedas.

Assim que a vítima for infectada, o Cinobi começará a trabalhar em segundo plano para monitorar a atividade online do usuário. Se detectar que a vítima tenta acessar um dos portais financeiros online que o cavalo de Tróia tem como alvo, a carga útil continuará a capturar qualquer coisa inserida no formulário de login do site. Os dados são armazenados em uma pasta oculta e contém o site, data, nome de usuário, senha, ID da sessão e outras informações.

Embora a maioria dos cavalos de Tróia bancários modernos tenha como alvo o Android, ainda encontramos ameaças compatíveis com o Windows, como o Cinobi. Esses ataques são muito perigosos, porque os usuários podem não ter ideia de que suas credenciais de login estão sendo sequestradas por criminosos cibernéticos. Eles só perceberão que há algo errado quando as transações fraudulentas começarem. Você deve tomar medidas preventivas para impedir que ameaças como o Trojan Cinobi cheguem ao seu dispositivo. Use um aplicativo antivírus atualizado e tenha cuidado ao interagir com sites e arquivos desconhecidos. Nunca baixe aplicativos e instaladores de fontes não confiáveis.