Descobriu-se que uma nova campanha de malvertising baseada em engenharia social voltada para o Japão oferece um aplicativo malicioso que implanta um cavalo de Troia bancário em máquinas Windows comprometidas para roubar credenciais associadas a contas de criptomoeda.
As máscaras aplicativo como um jogo animado pornô, uma aplicação de pontos de recompensa, ou um aplicativo de streaming de vídeo, a Trend Micro pesquisadores Jaromir Horejsi e Joseph C Chen disse em uma análise publicada na semana passada, atribuindo a operação para um ator de ameaça que rastreia como água Kappa, que foi encontrado anteriormente como alvo de usuários de banco on-line japoneses com o trojan Cinobi, aproveitando exploits no navegador Internet Explorer.
A mudança de tática é um indicador de que o adversário está destacando usuários de navegadores diferentes do Internet Explorer, acrescentaram os pesquisadores.
A rotina de infecção mais recente do Water Kappa começa com malvertisements para jogos pornôs animados japoneses, aplicativos de pontos de recompensa ou serviços de streaming de vídeo, com as páginas de destino solicitando que a vítima baixe o aplicativo - um arquivo ZIP contendo arquivos de uma versão mais antiga do "Logitech Capture "aplicativo datado de 2018, mas também com arquivos modificados que são orquestrados para descriptografar e executar o shellcode que, por sua vez, aciona a execução do cavalo de Tróia bancário Cinobi.
Além de geofencing de acesso aos portais de malvertisement de endereços de IP não japoneses, o trojan foi projetado para roubar nomes de usuário e senhas de 11 instituições financeiras japonesas, três das quais estão envolvidas no comércio de criptomoedas. No caso de um usuário visitar um dos sites visados, o módulo de captura de formulários do Cinobi é ativado para capturar as informações preenchidas nas telas de login.
"A nova campanha de malvertising mostra que a Water Kappa ainda está ativa e evoluindo continuamente suas ferramentas e técnicas para maior ganho financeiro - esta também visa roubar criptomoedas", disseram os pesquisadores. "Para minimizar as chances de serem infectados, os usuários precisam ter cuidado com anúncios suspeitos em sites obscuros e, tanto quanto possível, baixar aplicativos apenas de fontes confiáveis."
