日本をターゲットにした新たなソーシャル エンジニアリング ベースのマルバタイジング キャンペーンが、感染した Windows マシンにバンキング型トロイの木馬を展開して仮想通貨アカウントに関連する認証情報を盗む悪意のあるアプリケーションを配信していることが発見されました。
トレンドマイクロの研究者であるJaromir Horejsi氏とJoseph C Chen氏は、先週発表された分析の中で、このアプリはアニメーションポルノゲーム、報酬ポイントアプリ、またはビデオストリーミングアプリを装ったものであり、この操作はWater Kappaが脅威アクターであるとして追跡されたものであると考えていると述べた。これは、Internet Explorer ブラウザの脆弱性を悪用して、日本のオンライン バンキング ユーザーに対して Cinobi トロイの木馬を配信していることが以前に発見されました。
スタック オーバーフロー チーム
研究者らは、戦術の変化は、攻撃者が Internet Explorer 以外の Web ブラウザ ユーザーを選び出していることを示唆していると付け加えた。
Water Kappa の最新の感染ルーチンは、日本のアニメ ポルノ ゲーム、ボーナス ポイント アプリ、またはビデオ ストリーミング サービスのマルバタイジングから始まり、被害者にアプリのダウンロードを促すランディング ページ (古いバージョンの「Logicool Capture」のファイルを含む ZIP アーカイブ) が表示されます。 File」アプリケーションは 2018 年から開発されましたが、Cinobi バンキング トロイの木馬の実行をトリガーするシェルコードを復号して実行するように調整された変更されたファイルもあります。
エンタープライズパスワード管理
このトロイの木馬は、日本以外の IP アドレスからマルバタイジング ポータルへのアクセスをジオフェンシングすることに加えて、日本の金融機関 11 社からユーザー名とパスワードを盗むように設計されており、そのうち 3 社は仮想通貨取引に関与していました。ユーザーがターゲット Web サイトのいずれかにアクセスすると、Cinobi のフォーム スクレイピング モジュールがアクティブになり、ログイン画面に入力された情報をキャプチャします。
研究者らは、「新たなマルバタイジングキャンペーンは、Water Kappaが依然として活動しており、より大きな金銭的利益を得るためにツールや技術を進化させていることを示している。このキャンペーンは、仮想通貨を盗むことも目的としている。感染の可能性を最小限に抑えるために、ユーザーは次のことを行う必要がある」と述べた。疑わしい Web サイト上の不審な広告には注意し、可能であれば信頼できるソースからのみアプリをダウンロードしてください。」
元記事はチーフ・セキュリティー・オフィサーによるものです。