Nieuwe banking trojan malware zich klaar voor een wereldwijde campagne, experts waarschuwen
BackSwap aanvallen waren eerder beperkt in omvang, maar nu de bende achter het zou kunnen zijn het voorbereiden voor veel breder aanvallen.
Een nieuwe variant van het beruchte banking Trojan malware met een geschiedenis gaat terug meer dan tien jaar is ontstaan met nieuwe tactieken om ervoor te zorgen dat het moeilijker te detecteren.De malware is gericht om te jagen op de financiële informatie, gebruikersnamen, wachtwoorden en andere gevoelige gegevens.
De Ursnif banking Trojan is een van de meest populaire vormen van informatie-het stelen van malware gericht op Windows-Pc ‘ s en het bestaat al in een of andere vorm sinds 2007, toen het de code voor het eerst gespeeld in de Gozi banking Trojan.
Het is uitgegroeid tot zeer populair in de afgelopen jaren na de broncode was gelekt naar GitHub, zodat cybercriminelen van over de hele wereld om het te nemen en toevoegen van nieuwe functies aan de malware.
Nu hebben de onderzoekers van beveiligingsbedrijf Cybereason hebben ontdekt een nieuwe, voorheen niet-gedocumenteerde versie van Ursnif die van toepassing is anders, stealthier infectie tactiek dan andere campagnes.
Dit geldt ook voor wat de onderzoekers verwijzen als “last minute volharding” – een middel van het installeren van de kwaadaardige lading die probeert te zorgen voor een lagere kans om te worden ontdekt.
“De “last minute volharding” is een zeer slimme en sluipende mechanisme, waar de malware zal schrijven haar doorzettingsvermogen toets en bestanden voordat het systeem wordt uitgeschakeld, dus het is niet op de schijf aanwezig zijn voor meer dan een paar seconden ingedrukt terwijl het apparaat is ingeschakeld,” zei Assaf Dahan, senior director van bedreiging jacht op Cybereason.
Alleen wanneer de gebruiker zich opnieuw aanmeldt is Ursnif uitvoeren en geïnjecteerd, voordat de registersleutels en malware installatie bestanden zijn verwijderd, met het doel van het geven van beveiligingssoftware weinig kans om het te ontdekken.
De mensen achter deze Ursnif campagne ook het implementeren van een multi-fase daalt proces om te zorgen voor de laagste kans op detectie en de grootste mate van succes.
De aanval begint met wat de onderzoekers beschrijven als onderzoekers beschrijven als generieke, maar heel effectief zijn phishing e-mails die vragen het slachtoffer om een bijlage te openen – in de meeste gevallen is het een valse factuur, die gebruikers vraagt om macro ‘ s inschakelen.
Als dit verzoek volgt, het maakt de uitvoering van een opdracht downloaden van een afbeelding die wordt gehost op een file-sharing site – stenography is werkzaam voor het verbergen van een lading binnen het beeld, dat ooit gedecodeerd, begint de volgende fase van het proces.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Deze payload is Bebloh, een banking trojan in zijn eigen recht, maar deze campagne gebruikt als een druppelaar voor Ursnif. Onderzoekers geloven dat de eerste banking trojan is ingezet in een poging om ervoor te zorgen het doel is in feite niet een zandbak op een virtuele machine, om zo te voorkomen Ursnif wordt ingezet in een omgeving waar het geanalyseerd kan worden.
Na nog een serie van tests te controleren, het is niet actief in wat het ziet als een vijandige omgeving, de nieuwe Ursnif lading wordt uitgevoerd op de geïnfecteerde computer.
Naast de nieuwe persistentie mechanisme, deze versie van Ursnif komt met nieuwe stealer functies waarmee de aanvaller af te maken met meer dan alleen bankgegevens en wachtwoorden – het kan ook stelen van gegevens van bepaalde e-mails en browsers, potentieel biedt een schat aan gevoelige informatie.
Microsoft Outlook, Internet Explorer en Mozilla Thunderbird lijken te zijn gericht als aanvallers kijk voor aanvullende leveringen van de gestolen gegevens. Deze versie van Ursnif komt ook met de mogelijkheid om te stelen van bitcoin en andere cryptocurrency portemonnee
“In de afgelopen jaren, zien we dat trojaanse paarden zich meer en meer in het stelen van informatie, en niet alleen na de financiële gegevens. Dit kan worden gekoppeld aan de verschuiving in het gedrag van gebruikers die de voorkeur geven aan mobiele online bankieren en de efficiëntie van de beveiliging producten beschermen van de eindgebruikers als de banken van online diefstal en fraude”, aldus Dahan.
Deze bijzondere Ursnif campagne lijkt te zijn gericht op Japan en de Japanse banken in de mate dat als de malware detecteert dat de computer zich niet bevindt in Japan, zal het beëindigen van zichzelf om detectie te voorkomen in andere landen.
Onderzoekers hebben niet kunnen achterhalen, is de operatie achter de laatste Ursnif campagne, Dahan vertelde ZDNet er is bewijs om te suggereren dat het is gerelateerd aan het Cutwail-Botnet, een cyber criminele handeling die is actief sinds 2007, het jaar waarin de code achter Ursnif eerste naar voren.
Cybereason hebben op de Indicatoren van het Compromis en advies over het voorkomen van infectie in hun analyse van Ursnif.
LEES MEER OVER CYBER CRIME
Trojan malware: De verborgen cyber bedreiging voor uw PC –Hoe spot een phishing e-mail [CNET]Phishing-aanvallen: Waarom is e-mail nog zo een gemakkelijk doelwit voor hackers?De uitdagingen zijn bij het voorkomen van phishing-aanvallen: Een insider-perspectief [TechRepublic]Twee cybersecurity mythen die u nodig hebt om te vergeten nu, als u wilt stoppen met het hackers
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters