Noll
En ny version av Ursnif bank Trojan som provas ut i det vilda med koden ändringar och nya tekniker för att angripa de som försöker att göra det ännu mer effektivt.
En del av samma familj av skadlig kod som Gozi, den nya versionen av Ursnif kommer med omdirigering av attacker som använder falska versioner av webbplatser bank för att stjäla inloggningsuppgifter och finansiella data från offren.
Forskare på IBM X-Force sade att några av de mest betydande förändringarna i den tredje inkarnationen av Ursnif är i sin kod-injicera mekanism; det har ändrats i sådan grad att denna version av skadlig kod har sannolikt byggts av olika utvecklare att den andra versionen.
Den nya versionen av Ursnif upptäcktes i augusti i vad forskare har identifierat som början av en testperiod där de bakom skadlig kod har varit noga med att hålla skadlig kod dolda, i en sådan utsträckning att de resurser bakom det togs offline efter varje försök. Det är tänkt att Ursnif version tre är fortfarande i sin testperiod, eftersom version två är fortfarande aktiv i det vilda.
Det verkar som om de bakom Ursnif följer i fotspåren av andra banktjänster Trojaner såsom Dridex och Trickbot genom att lägga till omdirigering attacker till attack formel. Forskare observera att omdirigering av systemet genomförs via konfigurationsfilen och inte inbäddade i själva koden.
Den nya versionen av Ursnif trojan kommer med nya tekniker attack.
Bild: iStock
När aktiv, Ursnif attack verkar offret som om det är ansluta till deras verkliga bankens hemsida, samtidigt som man lämnar sina referenser till cyberbrottslingar bakom systemet.
“Malware upprätthåller en levande förbindelse med banken legitima webbsidan för att säkerställa att dess verkliga URL: en och digitalt certifikat visas i offrets adress bar,” sade Limor Kessem, verkställande security advisor på IBM.
Se även: Vad är nätfiske? Allt du behöver veta för att skydda dig från bedrägeri post och mycket mer
“Vid denna punkt, skadliga aktörer kan använda webben injektioner för att stjäla inloggningsuppgifter, autentisering koder och annan personligt identifierbar information (PII) utan att snubbla bankens bedrägeri upptäckt mekanismer”, tillade hon.
De prövningar av den tredje versionen av Ursnif har sett dem som står bakom den Trojanska med sin omdirigering av attacker mot företag och corporate banking-kunder i Australien.
Under tiden, forskare vid FireEye har också observerat en separat ny teknik som är anställd av Ursnif i form av att distribuera skadlig TLS (tråd lokal lagring) callbacks.
TLS callbacks är en vanlig del av Windows operativsystem, och är utformade för att ge ytterligare stöd för uppläggning och uppsägning för per-tråd datastrukturer. Men, den nya versionen av Ursnif är att manipulera TLS callbacks som en anti-analys trick.
Som många skadliga kampanjer, Ursnif levereras till offer genom phishing e-post. I detta exempel, fann forskarna att det skadliga programmet var att distribueras i meddelanden som påstår sig vara en bekräftelse på en order, och att ställa upp mål för att öppna och skriva en recension dokument. Om översynen dokument är klickat på den kommer att starta processen av malware infektion.
Forskare säger att den Ursnif nya tekniker för att visa hur internetbrottslingar ständigt utvecklas skadlig kod för att göra den mer effektiv.
De senaste och relaterade täckning
Hacka tillbaka är en fruktansvärd idé, men företagen är fortfarande angelägna om att prova det
Det är frestande att ta hämnd på hackare, men de nackdelar som är betydligt större än eventuella fördelar.
Du kan fortfarande köpa hårddiskar full av andra människors uppgifter, men Ssd-enheter som är mindre riskfyllda
Kroll Ontrack köpte hårddiskar och Ssd-enheter på eBay och hittade nästan hälften hade fortfarande affärs-och personliga uppgifter om dem.
Leverans företag varnar för att hackare kan läcka konfidentiell information
Global skeppsmäklare säger att det föll offer för en “it-incident” och kontaktar dem som har fått sin information stulen av angripare.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Gozi bank-malware mastermind förpliktas att betala $7 miljoner i damagesNew trojan malware kampanj skickar användare till falska bank webbplats som ser ut precis som riktiga thingThis skadlig kod kommer att stjäla ditt Twitter-och Facebook-konton [MAG] Hackare gör sina malware mer kraftfulla genom att kopiera WannaCry och Petya ransomware tricks Nya “Marcher” malware attacker Android-användare’ bank-konton [TechRepublic]
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0