Questa vecchia troia impara nuovi trucchi nella sua ultima banking info e per il furto di password campagna

0
131

Un infame forma di banking trojan malware con una storia che risale ad oltre un decennio è stato aggiornato con ulteriori infezioni tecniche come parte di una nuova campagna di targeting dati finanziari e password.

Ursnif è uno dei più popolari famiglie di Windows trojan bancari distribuito dai cyber criminali e il codice che sta dietro è attivo, in una forma o nell’altra, almeno dal 2007, quando è emerso il Gozi trojan bancari.

Gozi codice sorgente è trapelata nel 2010, portando a diverse versioni del malware emergenti e prendendo di mira banche. Probabilmente il maggior successo le versioni di malware utilizzando Gozi del codice sorgente, Ursnif è ancora attivamente sviluppato e distribuito a distanza di 12 anni da quando la minaccia per la prima volta.

Scoperto da ricercatori della Cisco Talos, l’ultima Ursnif campagna è distribuito nello stesso modo come molte altre forme di malware, phishing e-mail contenenti allegati dannosi. In questo caso, l’utente è incoraggiato ad aprire un documento di Microsoft Word, che lo presenta con le istruzioni su ‘abilita contenuto’ per vedere cosa c’è dentro.

Questo è uno stratagemma per ingannare l’utente ad attivare le macro, che consente di codice offuscato da eseguire e, in definitiva, porta al sistema di essere compromessa dal malware.

Tuttavia, Ursnif non è scaricato direttamente dal documento dannoso, piuttosto il codice offuscato viene eseguito un comando di PowerShell, che a sua volta conduce ad un secondo comando di PowerShell che poi scarica un Ursnif eseguibile da un server di comando e controllo per la vittima directory AppData.

VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)

Mediante la distribuzione di malware in questo modo, rende più difficile l’attività dannose per essere notato, aumentando le probabilità di un successo infezione come spesso può non essere percepita dal traffico normale — anche se Cisco Talos scoperto la campagna dopo il suo exploit-prevenzione motore preso in mano e ha impedito un attacco a questo punto.

Se l’esecuzione di Ursnif ottiene la directory AppData, utilizza Strumentazione Gestione Windows da riga di Comando (WMIC) per l’esecuzione di PowerShell e, infine, eseguire il codice per il recupero e l’inserimento di malware nel sistema.

A seguito di una corretta installazione, Ursnif rende richieste a un server di comando e controllo, con i dati in un file CAB compresso prima di essere exfiltrated dalla macchina, fornendo gli attaccanti con i mezzi di rubare informazioni, dati bancari, informazioni di login e altri.

Ursnif viene regolarmente aggiornato con nuove tecniche di attacco e questo sembra essere solo l’ultimo di una lunga serie di modifiche apportate al malware in modo da renderlo più efficace.

Cisco Talos ha pubblicato gli Indicatori di Compromesso per l’ultima versione di Ursnif nella loro analisi del malware.

PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA

Il padre di Zeus Kronos malware exploit Ufficio bug di dirottare il vostro conto in banca
Trojan malware è tornato ed è il più grande di hacking minaccia per il vostro business TechRepublic
Allarme Phishing: Hacking gang si rivolge a nuove tattiche in campagna di malware
Russo strumento di hacking ottiene extra furtivo a destinazione di stati UNITI, europa computer CNET
Questo Trojan attacco aggiunge una backdoor per il vostro PC Windows per rubare i dati

Argomenti Correlati:

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati