En ökänd form av bank trojan malware med en historia som går tillbaka mer än ett decennium har uppdaterats med ytterligare infektion teknik som en del av en ny kampanj som riktar sig till ekonomiska uppgifter och lösenord.
Ursnif är en av de mest populära familjer av Windows banktrojaner utnyttjas av cyberbrottslingar och koden bakom det har varit aktiv i en eller annan form sedan åtminstone 2007 då den först uppstod i den Gozi bank trojan.
Gozi källkod läckte ut under 2010, vilket ledde till att flera olika versioner av den framväxande malware och som riktar sig mot banker. Utan tvekan den mest framgångsrika versioner av skadlig kod med hjälp av Gozi source-kod, Ursnif är fortfarande mycket aktivt utvecklat och distribuerat 12 år från när hotet först dök upp.
Upptäckt av forskare hos Cisco Talos, den senaste Ursnif kampanj är fördelade på samma sätt som många andra former av skadlig kod — i phishing e-post, som innehåller skadliga bifogade filer. I detta fall uppmanas användaren att öppna ett Microsoft Word-dokument, som presenterar dem med instruktioner för att “aktivera innehåll” för att se vad som är inuti.
Detta är ett trick för att lura användaren till att aktivera makron, som låter förvrängt koden som ska utföras och i slutändan leder till att systemet äventyras på grund av malware.
Men Ursnif inte hämtat direkt från skadlig handling, snarare krypterat kod körs en PowerShell-kommando, vilket i sin tur leder till en andra PowerShell-kommando för att sedan hämtar en Ursnif körbara från ett kommando och kontroll server till offrets AppData directory.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF-fil (TechRepublic)
Genom att distribuera skadlig kod på det här sättet, det gör det svårare för skadlig aktivitet för att upptäckas, vilket ökar chanserna för en lyckad infektion som ofta inte kan urskiljas från normal trafik — även om Cisco Talos upptäckt kampanjen efter sin bedrift-förebyggande motorn plockas upp och förhindrade ett angrepp på denna punkt.
Om verkställigheten av Ursnif blir till AppData directory, den använder Windows Management Instrumentation kommandoraden (WMIC) att köra PowerShell och slutligen köra kod för att hämta och injicera skadlig kod i systemet.
Efter en lyckad installation, Ursnif gör förfrågningar till ett kommando och kontroll-server, med de data som tas i en komprimerade CAB-filen innan den är exfiltrated från maskinen, ge angripare med hjälp av att stjäla information, bank-information, inloggningsuppgifter och mer.
Ursnif uppdateras regelbundet med nya tekniker för att angripa och detta verkar vara bara den senaste i en lång rad av de förändringar som gjorts för att skadlig kod för att göra den mer effektiv.
Cisco Talos har publicerat Indikatorer Kompromiss för den senaste versionen av Ursnif i sin analys av skadlig kod.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
“Fader Zeus’ Kronos malware utnyttjar Office fel att kapa ditt bankkonto
Trojan malware är tillbaka och det är den största hacka hot mot din verksamhet TechRepublic
Phishing varning: Hacka gänget vänder sig till en ny taktik i malware kampanj
Ryska hacking verktyg blir extra smygande att rikta AMERIKANSKA, Europeiska datorer CNET
Denna Trojan attack lägger en bakdörr till din Windows-PC för att stjäla data
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter