En berygtet form af bank trojan, malware, med en historie der går tilbage over et årti er blevet opdateret med yderligere infektion teknikker som en del af en ny kampagne rettet mod finansielle data og passwords.
Ursnif er en af de mest populære familie af Windows banking trojanske heste, der udstationeres af cyber-kriminelle, og koden bag det har været aktive i en eller anden form, i hvert fald siden 2007, da den første dukkede op i den Gozi bank trojan.
Gozi kildekode blev lækket i 2010, hvilket førte til flere forskellige versioner af den nye malware og rettet mod banker. Velsagtens den mest vellykkede versioner af malware ved hjælp af Gozi kilde-kode, Ursnif er stadig aktivt udviklet og implementeret 12 år fra, når den trussel, som først dukkede op.
Afsløret af forskere på Cisco Talos, den seneste Ursnif kampagne er fordelt på samme måde som mange andre former for malware — i phishing-e-mails, der indeholder skadelige vedhæftede filer. I dette tilfælde, opfordres brugeren til at åbne et Microsoft Word-dokument, der præsenterer dem med instruktioner til “aktiver indholdet” for at se hvad der er indeni.
Dette er et trick for at narre brugeren til at aktivere makroer, som gør det muligt uklar kode og i sidste ende fører til, at systemet bliver kompromitteret med malware.
Men Ursnif ikke er hentet direkte fra det dokument, temmelig uklar kode, der kører en PowerShell-kommando, som igen fører til en anden PowerShell-kommando, der så downloader en Ursnif eksekverbare fra en kommando-og kontrol-server til ofrets AppData directory.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Ved at distribuere malware på denne måde, det gør det mere vanskeligt for ondsindet aktivitet for at blive opdaget, hvilket øger chancerne for en vellykket infektion, da det ofte ikke kan skelnes fra den normale trafik — selv om Cisco Talos afdækket kampagne efter sin udnytte-forebyggelse motoren samles op og forhindrede et angreb på dette punkt.
Hvis udførelsen af Ursnif bliver til AppData directory, det bruger Windows Management Instrumentation Kommando-linje (WMIC) til at udføre PowerShell og i sidste ende køre kode til hentning og intravenøs malware ind i systemet.
Efter en vellykket installation, Ursnif gør anmodninger til en kommando og kontrol-server, med de data, som sættes ind i en komprimeret CAB-fil, før de exfiltrated fra maskinen, som giver angriberne mulighed for at stjæle information, bank-oplysninger, login-oplysninger og meget mere.
Ursnif bliver jævnligt opdateret med nye angreb teknikker, og denne ser ud til at være blot den seneste i en lang række af ændringer, der er foretaget malware for at gøre den mere effektiv.
Cisco Talos har offentliggjort Indikatorer for Kompromis til den nyeste version af Ursnif i deres analyse af malware.
LÆS MERE OM IT-KRIMINALITET
‘Far til Zeus’ Kronos malware udnytter Kontor fejl til at kapre din bankkonto
Trojan, malware er tilbage, og det er den største hacking trussel for din virksomhed, TechRepublic
Phishing-advarsel: Hacking bande vender sig til nye taktik i malware kampagne
Russisk hacking værktøj får ekstra snigende til at målrette AMERIKANSKE, Europæiske computere CNET
Denne Trojanske angreb tilføjer en bagdør til din Windows-PC til at stjæle data
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre