Nul
Den nye version af Ursnif trojanske kommer med nye angreb teknikker.
Billede: iStock
En ny version af Ursnif bank trojan er ved at blive testet ud i naturen med ændringer til koden og nye angreb teknikker i et forsøg på at gøre malware endnu mere effektiv.
En del af den samme malware familie, som Gozi, den nye version af Ursnif kommer med omdirigering angreb, der bruger falske versioner af bank-websteder for at stjæle login-oplysninger og finansielle oplysninger fra ofrene.
Forskere ved IBM X-Force bemærke, at nogle af de mest markante ændringer i denne tredje inkarnation af Ursnif er i den kode injektion mekanisme, at et sådant omfang, at det er sandsynligt, at denne version af malware, er blevet bygget af forskellige udviklere til den anden version.
Det er sandsynligt, at Ursnif version tre, der stadig er i sin prøveperiode, da version to er stadig aktiv i naturen.
Den nye version af Ursnif først blev opdaget i August i, hvad forskere har identificeret som udgangspunkt for en test periode, hvor de, bag malware har været omhyggelig med at holde malware er skjult, i en sådan grad, at de ressourcer, der er bag det, blev taget offline efter hvert forsøg.
I dette tilfælde, at de forsøg, der har set dem bag Ursnif hjælp omdirigering angreb mod erhvervslivet og corporate banking kunder i Australien.
Det ser ud til, at dem, der står bag Ursnif følger i fodsporene af andre banking trojanske heste, som Dridex og Trickbot ved at tilføje omdirigering angreb på angreb formel. Forskere bemærk, at omdirigering ordning er gennemført via konfigurationsfilen og ikke indlejret i selve koden.
Se også: Hvad er phishing? Alt hvad du behøver at vide for at beskytte dig selv fra fidus e-mails og meget mere
Når aktiv, Ursnif angreb ser ud, som om det opretter forbindelse til den rigtige bank website for offeret, samtidig med at de afleverer deres akkreditiver til cyber criminasl bag ordningen.
“Malware vedligeholder en levende forbindelse med bankens legitime webside for at sikre, at dens ægte URL og digitalt certifikat, vises i offerets adresse bar,” sagde Limor Kessem, Executive Security Advisor i IBM.
“På det tidspunkt, den ondsindede aktører kan bruge web-injektioner for at stjæle login-oplysninger, authentication codes og andre personligt identificerbare oplysninger (PII), uden at snuble bank’ s afsløring af svig mekanismer,” tilføjede hun.
I mellemtiden, forskere på FireEye har også observeret en separat nye teknik, der er ansat af Ursniff i form af implementering af ondsindede TLS (Thread local storage) tilbagekald.
TLS tilbagekald er en standard del af Windows-operativsystemet, designet til at give ekstra støtte til initialisering og opsigelse for per-thread-datastrukturer. Men, den nye version af Ursnif er at manipulere TLS tilbagekald som en anti-analyse trick.
Ligesom mange ondsindede kampagner, Ursnif er leveret til ofre via ondsindede phishing-e-mails. I dette tilfælde, forskere afdækket malware bliver fordelt i de beskeder, som hævder at være en bekræftelse af, at udbuddet for at spørge mål for at åbne og underskrive en anmeldelse dokument. Hvis revisionen dokument, der er klikket på, vil det starte processen med malware-infektion.
Forskere siger, at de Ursnif ‘ s nye teknikker at påvise, hvordan cyber-kriminelle er løbende re-udvikling af malware for at gøre den mere effektiv.
LÆS MERE OM IT-KRIMINALITET
Gozi bank-malware mastermind dømt til at betale $7 millioner i damagesNew trojan, malware kampagne, sender brugere til falske bank-site, der ser ud som i den virkelige thingThis malware vil stjæle din Twitter-og Facebook-konti [CNET] Hackere gør deres malware, mere kraftfuldt ved at kopiere WannaCry og Petya ransomware tricks Nye “Marcher” malware-angreb på Android-brugere’ bankkonti [TechRepublic]
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0