Se descubrió que una nueva campaña de publicidad maliciosa basada en ingeniería social dirigida a Japón ofrece una aplicación maliciosa que implementa un troyano bancario en máquinas Windows comprometidas para robar credenciales asociadas con cuentas de criptomonedas.

La aplicación se hace pasar por un juego porno animado, una aplicación de puntos de recompensa o una aplicación de transmisión de video, dijeron los investigadores de Trend Micro, Jaromir Horejsi y Joseph C Chen , en un análisis publicado la semana pasada, atribuyendo la operación a un actor de amenazas que rastrea como Water Kappa. que se encontró anteriormente apuntando a los usuarios japoneses de banca en línea con el troyano Cinobi al aprovechar las vulnerabilidades en el navegador Internet Explorer.

El cambio de táctica es un indicador de que el adversario está señalando a los usuarios de navegadores web distintos de Internet Explorer, agregaron los investigadores.

La última rutina de infección de Water Kappa comienza con anuncios maliciosos para juegos porno animados japoneses, aplicaciones de puntos de recompensa o servicios de transmisión de video, y las páginas de destino instan a la víctima a descargar la aplicación, un archivo ZIP que contiene archivos de una versión anterior de «Logitech Capture «con fecha de 2018, pero también con archivos modificados que están orquestados para descifrar y ejecutar shellcode que, a su vez, desencadena la ejecución del troyano bancario Cinobi.

Además de geofencing el acceso a los portales de publicidad maliciosa desde direcciones IP no japonesas, el troyano está diseñado para robar nombres de usuario y contraseñas de 11 instituciones financieras japonesas, tres de las cuales están involucradas en el comercio de criptomonedas. En caso de que un usuario visite uno de los sitios web específicos, el módulo de captura de formularios de Cinobi se activa para capturar la información completa en las pantallas de inicio de sesión.

«La nueva campaña de publicidad maliciosa muestra que Water Kappa todavía está activo y evoluciona continuamente sus herramientas y técnicas para obtener una mayor ganancia financiera; esta también tiene como objetivo robar criptomonedas», dijeron los investigadores. «Para minimizar las posibilidades de infección, los usuarios deben tener cuidado con los anuncios sospechosos en sitios web sospechosos y, en la medida de lo posible, descargar aplicaciones solo de fuentes confiables».

Fuente y redacción: thehackernews.com

Compartir