【安全资讯】Water Kappa组织针对日本加密货币交易所用户,传播Cinobi银行木马

猎影实验室 2021-08-10 06:49:39 894人浏览

引言

研究人员发现了一个由Water Kappa组织发起的新的基于社会工程的恶意广告活动。该活动旨在针对日本金融机构用户,通过伪装成免费色情游戏、奖励积分应用程序或视频流的恶意应用程序,滥用侧加载漏洞来启动Cinobi 银行木马,目标是窃取用户的加密货币。


简况

Water Kappa组织攻击活动的时间线如下:




攻击活动从伪装的恶意广告开始。用户收到伪装成日本动画色情游戏、奖励积分应用程序或视频流应用程序广告的恶意广告,这些广告都试图诱骗受害者下载相同的恶意文件。这些恶意广告很可能是从合法网站得到的,然后对其做一些较小的修改。单击页面中带有文本“index.clientdownload.windows”的按钮后,登陆页面开始下载 ZIP 压缩文件,页面中的按钮指向由Water Kappa创建的新页面,该页面提示受害者如何下载和执行应用程序。非日语 IP 地址的用户将显示错误消息。解压缩 ZIP 存档后,得到以下列表,红色为恶意文件:


Cinobi 银行木马分为四个阶段,每个阶段下载额外的组件,并可能执行环境或反虚拟机 (VM) 检查。有两个命令和控制 (C&C) 服务器,其中一个返回阶段 2 到 4,而另一个返回配置文件。Xjs.dll 解密并加载format.cfg,这是Cinobi banker 的第一阶段,此阶段不会从第一个 C&C 服务器下载 Tor ,它从名为“ros”的文件中读取并提取一个文件,该文件包含第 2 阶段和第 3 阶段的加密包、一个包含 C&C 服务器的配置文件以及一个带有 Tor 的存档。包含表单抓取功能所针对的网站的配置文件。当使用受感染机器的受害者访问配置文件中提到的网站之一并将填写好的表格发送回服务器时,银行木马的表格抓取功能将被激活。单击提交按钮后,带有加密请求的文本文件会短暂出现在安装了银行木马的文件夹中。


总结

目前,Cinobi银行木马已经攻击了 11 家日本金融机构的用户,其中至少有 3 家涉及加密货币交易。新的恶意广告活动表明 Water Kappa 仍然很活跃,并在不断改进他们的工具和技术以获取更大的经济利益——这也旨在窃取加密货币。为了防止被感染,用户需要警惕可疑网站上的广告,并尽可能只从可信来源下载应用程序。

失陷指标(IOC)43
Water Kappa Cinobi 银行木马 日本 加密货币 金融
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。