Une nouvelle campagne de publicité malveillante basée sur l’ingénierie sociale ciblant le Japon s’est avérée fournir une application malveillante qui déploie un cheval de Troie bancaire sur des machines Windows compromises pour voler les informations d’identification associées aux comptes de crypto-monnaie.
L’application se fait passer pour un jeu porno animé, une application de points de récompense ou une application de streaming vidéo, les chercheurs de Trend Micro Jaromir Horejsi et Joseph C Chen mentionné dans une analyse publiée la semaine dernière, attribuant l’opération à un acteur menaçant qu’il traque sous le nom de Water Kappa, qui a été trouvé précédemment ciblant les utilisateurs japonais de services bancaires en ligne avec le cheval de Troie Cinobi en tirant parti des exploits du navigateur Internet Explorer.
Le changement de tactique est un indicateur que l’adversaire cible les utilisateurs de navigateurs Web autres qu’Internet Explorer, ont ajouté les chercheurs.
La dernière routine d’infection de Water Kappa commence par des publicités malveillantes pour des jeux pornographiques animés japonais, des applications de points de récompense ou des services de streaming vidéo, les pages de destination invitant la victime à télécharger l’application – une archive ZIP contenant des fichiers d’une ancienne version de « Logitech Capture » datée de 2018, mais comportant également des fichiers modifiés qui sont orchestrés pour décrypter et exécuter un shellcode qui, à son tour, déclenche l’exécution du cheval de Troie bancaire Cinobi.
En plus de géorepérer l’accès aux portails de publicité malveillante à partir d’adresses IP non japonaises, le cheval de Troie est conçu pour voler les noms d’utilisateur et les mots de passe de 11 institutions financières japonaises, dont trois sont impliquées dans le trading de crypto-monnaie. Dans le cas où un utilisateur visite l’un des sites Web ciblés, le module de saisie de formulaire de Cinobi est activé pour capturer les informations remplies dans les écrans de connexion.
« La nouvelle campagne de publicité malveillante montre que Water Kappa est toujours actif et fait évoluer en permanence ses outils et ses techniques pour un gain financier plus important – celle-ci vise également à voler de la crypto-monnaie », ont déclaré les chercheurs. « Afin de minimiser les risques d’infection, les utilisateurs doivent se méfier des publicités suspectes sur des sites Web louches et, dans la mesure du possible, télécharger des applications uniquement à partir de sources fiables. »