Forscher bei IBM haben eine neue Variante des Ursnif Trojan, dessen Entwickler ein neues Feature in aktiven Angriffen Prüfung erkannt wurden. Dieses Stück Malware basiert auf dem Code des ursprünglichen Ursnif oder Gozi ISFB, aber es verfügt über einige Änderungen, die Code-Injektion und Angriffstaktiken Beteiligung.
Die interne Build-Nummer des Trojaners hat auch diese neue Version passen aktualisiert worden und wird derzeit auf Ursnif v3. Jedoch, es sollte beachtet werden, dass die vorherige Build, Ursnif v2, ist auch in der freien Natur aktiv.
Während Veränderungen waren bedeutendsten in der Code-Injektion Mechanismus, Hacker Umleitung Angriffe auch Unternehmen entwickelt und Firmenkunden in Australien zum Ziel, Forscher sagten,. Die Umleitung Schema wird durch die Konfigurationsdatei implementiert und nicht in den Code eingebettet selbst, IBM festgestellt.
Diese Änderungen können als Indikator dienen, dass eine neue Internet-Kriminalität Gruppe über den Ursnif Betrieb genommen hat, vor allem aufgrund der Tatsache, dass Australien das einzige Ziel der jüngsten Aktivitäten hat. Eine Tatsache ist erwähnenswert, dass die neu hinzugefügte Fähigkeit Umleitungskette Angriffe auszuführen ist auch typisch für Dridex, GootKit and TrickBot operations.
Ursnif v3 Umleitung Angriffe erklärt
Diese Umleitung Angriffe durch die aktuellen Malware-Operationen eingesetzt werden zielt auf eine spezielle Liste der Opfer - kleine Banken und Kreditgenossenschaften in Australien. Ein paar andere, bankspezifischen Konfigurationen wurden auch gezielt Business-und Corporate-Banking-Kunden hinzugefügt, Forscher bekannt.
In einer Umleitung Angriff, auf eine gefälschte Website ist das Opfer auf einem Angreifer kontrollierten Server gehostet umgeleitet. Die Malware unterhält eine Live-Verbindung mit der legitimen Webseite der Bank, um sicherzustellen, dass seine echte URL und digitales Zertifikat in der Adressleiste des Opfers erscheinen. An diesem Punkt, die böswilligen Akteure können webinjections verwenden Anmeldeinformationen zu stehlen, Authentifizierungscodes und andere persönliche Daten (PII) ohne die Bank des Betrugserkennungsmechanismen Auslöse.
Das allgemeine Gefühl, dass diese Kampagne provoziert ist, dass Hacker versuchen, unter dem Radar zu fliegen, keeping Verteilung streng gezielte. Der Grund dafür liegt auf der Hand - konzentriert Infektionen sind profitabel und ziehen weniger unerwünschte Aufmerksamkeit.
Auch, Hacker verlassen sich höchstwahrscheinlich auf Rechnung und Gerät Übernahmeverfahren auf der Grundlage des Ursnif v2 benutzerdefinierten virtuellen Netzwerk-Computing-Modul versteckt.
Der Ursnif Trojan hat sich für eine lange Zeit - mindestens ein Jahrzehnt, die es zu einem der am längsten bestehende Banking-Trojaner macht jemals geschaffen. Die Malware wurde zum ersten Mal entdeckt in 2007, und es hat sich verändert, seitdem. Ursnif den Code in der Tat durchgesickert war in 2010 was zu ihrer Wiederverwendung in Gozi-branded-Kampagnen. Später, Der Quellcode wurde wiederverwendet werden erneut in Nerverquest und GozNym Banking-Trojaner.
Die Forscher betonen auch die Tatsache, dass „für das Gesamtjahr 2016 durch 2017, Ursnif v2 hat im Finanz Internet-Kriminalität Arena einer der Top-Spieler gewesen, sowohl in Bezug auf seinen Code Evolution und Angriffsvolumen".
Wie bleiben geschützt gegen Banking-Trojaner wie Ursnif v3
Auch wenn Ursnif v3 derzeit auf bestimmte Banken, Es ist eine wohlbekannte Tatsache, dass Internet-Kriminalität in Banden verlagern ihre Methoden und Ziele schnell sind. Alle Online-Nutzer sollten berücksichtigen, dass Bank-Trojaner sind immer auf freiem Fuß, um vor allem den Winterferien, wenn Online-Benutzeraktivitäten (Einkaufen inklusive) steigen die Waage.
Betrachten Sie die folgenden Tipps Umsetzung Ihre tägliche Online-Hygiene zu verbessern und das Risiko, ein Opfer auf Malware zu reduzieren.
- Achten Sie darauf, um zusätzliche Firewall-Schutz zu verwenden. eine zweite Firewall herunterzuladen ist eine ausgezeichnete Lösung für alle potenziellen Eindringlingen.
- Stellen Sie sicher, dass Ihre Programme haben weniger administrative Macht über das, was sie lesen und schreiben auf Ihrem Computer. Machen Sie ihnen das Admin-Zugang aufgefordert, vor dem Start.
- Verwenden sicherer Kennwörter. Sicherer Kennwörter (vorzugsweise solche, die nicht Worte) sind schwerer zu knacken durch verschiedene Methoden, einschließlich brute force, da es beinhaltet Pass Listen mit relevanten Wörter.
- Autoplay deaktivieren. Dies schützt Ihren Computer vor schädlichen ausführbaren Dateien auf USB-Sticks oder andere externe Speicherträger, die sofort in sie eingefügt werden.
- Deaktivieren Sie File Sharing - empfohlen, wenn Sie Austausch zwischen Ihrem Computer Passwort-Datei benötigen schützen es um die Bedrohung zu beschränken sich nur auf sich selbst infiziert, wenn.
- Schalten Sie alle Remote-Dienste - das kann verheerend für Unternehmensnetzwerke zu sein, da es eine Menge Schaden in großem Maßstab führen.
- Wenn Sie einen Dienst oder ein Prozess, der externen und nicht Windows ist kritisch und wird von Hackern ausgenutzt zu sehen (Wie Flash Player) deaktivieren Sie es, bis es ein Update, die den Exploit behoben.
- Achten Sie darauf, zu aktualisieren und rechtzeitige Aolly das kritische Sicherheits-Patches für Ihre Software und O.
- Konfigurieren Sie Ihren Mail-Server zu blockieren und löschen verdächtige Dateianhänge in E-Mails.
- Wenn Sie einen infizierten Computer in Ihrem Netzwerk haben, stellen Sie sicher, sofort schalten Sie es aus und trennen Sie es von Hand aus dem Netzwerk zu isolieren.
- Schalten Sie Infrarot-Ports oder Bluetooth - Hacker lieben, sie zu verwenden, um Geräte zu nutzen,. Falls Sie Bluetooth verwenden, stellen Sie sicher, dass Sie alle nicht autorisierte Geräte, die Sie auffordern, zu überwachen, um mit ihnen und den Niedergang zu koppeln und zu untersuchen verdächtige diejenigen.
- Verwenden eine leistungsstarke Anti-Malware-Lösung, um sich vor künftigen Bedrohungen automatisch schützen.
SpyHunter Scanner erkennt nur die Bedrohung. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren