Malicious Ads Target Cryptocurrency Users With Cinobi Banking Trojan
2021/08/17 TheHackerNews — 日本を標的としたソーシャル・エンジニアリング・ベースの新たな不正広告キャンペーンは、侵害された Windows マシンにバンキング・トロイの木馬を展開し、暗号通貨アカウントに関連する認証情報を盗むための、不正なアプリケーションが配信されていることが判明した。Trend Micro の研究員である Jaromir Horejsi と Joseph C Chen は、先週公開した分析レポートの中で、Water Kappa として追跡されている脅威アクターが、このアプリケーションを配布していると述べている。
Water Kappa については、以前にも Internet Explorer のエクスプロイトを利用して、Cinobi トロイの木馬で日本のオンライン・バンキング・ユーザーを標的にしたことが確認されている。今回の戦術の切り替えは、InternetExplorer 以外の Web ブラウザのユーザーを、攻撃者が選び出したことを示していると、研究者たちは付け加えている。
Water Kappa の最新の感染ルーチンは、日本のアニメ・ポルノ・ゲーム/ポイント・アプリ/ビデオ・ストリーミングなどのマルバタイズメント (malvertisements) から始まり、ランディング・ページではアプリのダウンロードを被害者に促す。このアプリは、2018年に作成された旧バージョンの Logitech Capture を含む ZIP アーカイブであり、復号化してシェルコードを実行するように編成/改変されたファイルも含んでいる。
そして、このファイルをトリガーとして、Cinobi バンキング・トロイの木馬が実行される。このトロイの木馬は、日本以外の IP アドレスからマルバタイズメント・ポータルへのジオフェンス・アクセス (geofencing access) に加えて、日本の金融機関11社 (うち3社は暗号通貨取引に関与) のユーザー名とパスワードを盗み出すように設計されている。対象となる Web サイトのいずれかにユーザーがアクセスすると、Cinobiの フォーム取得モジュールが起動し、ログイン画面に記入された情報を窃取する。
研究者たちは、「この新しいマルバタイジング・キャンペーンは、Water Kappa が依然として活発であり、より大きな経済的利益のために、ツールとテクニックを継続的に進化させていることを示している。つまり、暗号通貨を盗むことも目的に加えたとしている。感染の可能性を最小限に抑えるために、ユーザーは怪しげな Web サイトの疑わしい広告に注意し、可能な限り信頼できるソースからのみ。アプリケーションをダウンロードする必要がある」と述べている。
河童と忍という名の RAT で、日本の金融機関をターゲットにするのですから、やぱり、国内の事情に詳しい人なんでしょうね。最近の RAT に関するトピックとしては、「Apple XProtect 防御ラインをすり抜ける新種の AdLoad マルウェアとは?」や、「Facebook アカウントをハッキングする新手の Android マルウェアに注意!」、「ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている」などがありますが、どれも今月の話で、多発状態です。気を付けましょうね。
IoT OT Security News 