Een beruchte vorm van een banking trojan, malware met een geschiedenis gaat terug meer dan een decennium heeft een update gekregen met extra infectie technieken als onderdeel van een nieuwe campagne targeten van financiële gegevens en wachtwoorden.
Ursnif is een van de meest populaire familie van Windows banking trojans geïmplementeerd door cybercriminelen en de code achter het actief is geweest in een of andere vorm sinds 2007 toen het voor het eerst gespeeld in de Gozi banking trojan.
Gozi de broncode werd gelekt in 2010, wat leidt tot een aantal verschillende versies van de opkomende malware en gerichte banken. Misschien wel het meest succesvolle versies van malware met behulp van Gozi de bron-code, Ursnif wordt nog steeds actief ontwikkeld en geïmplementeerd 12 jaar op vanaf het moment dat de bedreiging voor het eerst verscheen.
Ontdekt door onderzoekers van Cisco Talos, de laatste Ursnif campagne wordt verspreid op dezelfde manier als veel andere vormen van malware — in phishing-e-mails met kwaadaardige bijlagen. In dit geval, wordt de gebruiker aangemoedigd te openen van een Microsoft Word-document, waarin ze met instructies om ‘inhoud inschakelen’ om te zien wat erin zit.
Dit is een truc om andere gebruikers te misleiden tot het inschakelen van macro ‘ s, die het mogelijk maakt obfuscated code kan worden uitgevoerd en leidt uiteindelijk tot het systeem in gevaar wordt gebracht door de malware.
Echter, Ursnif niet gedownload recht van de kwaadaardige document, in plaats van het obfuscated code wordt een PowerShell-opdracht, die op zijn beurt leidt tot een tweede opdracht, die vervolgens downloadt u een Ursnif uitvoerbaar vanaf een command and control-server van het slachtoffer is AppData directory.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Door het verspreiden van de malware op deze manier, het maakt het moeilijker voor de schadelijke activiteit om gespot te worden, het verhogen van de kansen van een succesvolle infectie omdat het vaak niet kan worden onderscheiden van het normale verkeer — hoewel Cisco Talos ontdekt de campagne na de exploit-preventie motor opgehaald en voorkomen van een aanval op dit punt.
Indien de uitvoering van Ursnif krijgt om de AppData map is, maakt gebruik van Windows Management Instrumentation Command-line (WMIC) uitvoeren van PowerShell en het uiteindelijk uitvoeren van de code voor het ophalen en het injecteren van de malware in het systeem.
Na een succesvolle installatie, Ursnif maakt verzoeken om een command and control-server, met de gegevens die in een gecomprimeerde CAB-bestand, voorafgaand aan de exfiltrated van de machine, waardoor aanvallers met de middelen van het stelen van informatie, financiële informatie, login-gegevens en meer.
Ursnif wordt regelmatig bijgewerkt met nieuwe aanval technieken en dit lijkt slechts de laatste in een lange lijn van wijzigingen in de malware om het doeltreffender te maken.
Cisco Talos heeft gepubliceerd over de Indicatoren van het Compromis voor de nieuwste versie van Ursnif in hun analyse van de malware.
LEES MEER OVER CYBER CRIME
‘Vader van Zeus Kronos malware, exploits Office bug te kapen uw bankrekening
Trojan malware is terug en het is het grootste hacken bedreiging voor uw bedrijf TechRepublic
Phishing alert: Hacking bende draait om nieuwe tactieken te malware campagne
Russische hack tool krijgt extra stealthy te richten ONS, Europese computers CNET
Deze Trojan aanval voegt een backdoor op uw Windows-PC om gegevens te stelen
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters