Eine neue Social-Engineering-basierte Malvertising-Kampagne, die auf Japan abzielt, wurde entdeckt, um eine bösartige Anwendung zu verbreiten, die einen Banking-Trojaner auf infizierten Windows-Rechnern einsetzt, um Anmeldedaten für Kryptowährungskonten zu stehlen.
In einer letzte Woche veröffentlichten Analyse erklärten die Trend Micro Forscher Jaromir Horejsi und Joseph C. Chen, dass sich die Anwendung als animiertes pornografisches Spiel, als Anwendung für Belohnungspunkte oder als Videostreaming-Anwendung tarnt, und führten die Operation auf den Bedrohungsakteur Water Kappa zurück, einen Bedrohungsakteur, der bereits zuvor Benutzer des japanischen Online-Banking-Systems ins Visier genommen hat, indem er eine Schwachstelle im Internet Explorer ausnutzte, um den Trojaner Cinobi gegen japanische Online-Banking-Nutzer einzusetzen.
Stack Overflow-Team
Die Forscher fügten hinzu, dass der Strategiewechsel darauf hindeutet, dass die Konkurrenten die Nutzer anderer Webbrowser als des Internet Explorer ins Visier nehmen.
Die neueste Infektionsroutine von Water Kappa beginnt mit einer bösartigen Werbung für ein japanisches animiertes Pornospiel, eine App für Belohnungspunkte oder einen Videostreaming-Dienst, mit einer Landing Page, die die Opfer auffordert, die App herunterzuladen - ein ZIP-Archiv, das Dateien aus einer älteren Version der "Logitech Capture "Dabei handelt es sich um ein ZIP-Archiv, das Dateien aus einer älteren Version der App von 2018 enthält, aber auch modifizierte Dateien, die sorgfältig so gestaltet sind, dass sie Shellcode entschlüsseln und ausführen, der wiederum die Ausführung des Banking-Trojaners Cinobi auslöst.
Passwortverwaltung für Unternehmen
Neben dem Geo-Fencing des Zugriffs auf bösartige Werbeportale von nicht-japanischen IP-Adressen aus ist der Trojaner auch darauf ausgelegt, Benutzernamen und Passwörter von 11 japanischen Finanzinstituten zu stehlen, von denen drei in den Handel mit Kryptowährungen involviert sind. Besucht ein Benutzer eine der anvisierten Websites, wird das Formularerfassungsmodul von Cinobi aktiviert, um die im Anmeldebildschirm eingegebenen Informationen zu erfassen.
"Die neue Malvertising-Kampagne deutet darauf hin, dass Water Kappa immer noch aktiv ist und seine Tools und Techniken weiterentwickelt, um größere finanzielle Gewinne zu erzielen - eine Kampagne, die auch darauf abzielt, Kryptowährungen zu stehlen", so die Forscher. "Um das Risiko einer Infektion zu minimieren, sollten Nutzer auf verdächtige Werbung auf dubiosen Websites achten und Apps nach Möglichkeit nur von vertrauenswürdigen Quellen herunterladen."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/cinobi-banking-trojan-to-attack-cryptocurrency-users.html
