Los investigadores de IBM han detectado una nueva variante del troyano Ursnif cuyos desarrolladores han estado probando una nueva característica de ataques activos. Esta pieza de malware se basa en el código del original Ursnif o Gozi ISFB, pero que cuenta con algunos cambios que implican la inyección y tácticas de ataque de códigos.
El número de compilación interna del troyano también se ha actualizado para adaptarse a esta nueva versión y actualmente se establece en Ursnif v3. Sin embargo, cabe señalar que la acumulación previa, Ursnif v2, es también activo en la naturaleza.
Mientras que los cambios eran más significativo en el mecanismo de inyección de código, los hackers también desarrollaron ataques del cambio de dirección para dirigirse a clientes de negocios y banca corporativa en Australia, investigadores dijeron. El esquema de redirección se implementa a través del archivo de configuración y que no esté integrado en el propio código, IBM señaló.
Estos cambios pueden servir como un indicador de que un nuevo grupo ciberdelincuencia ha hecho cargo de la operación Ursnif, especialmente basa en el hecho de que Australia ha sido el único objetivo de las últimas actividades. Un hecho a destacar es que la capacidad recién agregado para llevar a cabo ataques en cadena de redirección también es típico para Dridex, GootKit operaciones y TrickBot.
Ursnif v3 ataques de redirección explican
Estos ataques de redirección desplegados por las operaciones de malware actuales se dirigen a una lista especial de las víctimas - las cajas y cooperativas de crédito en Australia. Algunos otros, También se añadieron configuraciones específicas de los bancos para apuntar negocio y clientes de banca corporativa, investigadores célebre.
En un ataque de redirección, la víctima se desvía a un sitio web falso alojado en un servidor controlado por el atacante. El malware se mantiene una conexión en directo con la página legítima del banco para asegurarse de que su verdadera URL y certificado digital aparecen en la barra de direcciones de la víctima. En ese punto, los actores maliciosos pueden utilizar webinjections para robar credenciales de acceso, códigos de autenticación y otra información de identificación personal (PII) sin disparar mecanismos de detección de fraude del banco.
La sensación general que provoca esta campaña es que los piratas informáticos están tratando de volar bajo el radar, mantenimiento de la distribución estrictamente dirigido. La razón de esto es bastante obvio - infecciones enfocadas son más rentables y atraen menos la atención no deseada.
También, los hackers están muy probablemente confiando en cuenta y adquisición dispositivo de esquemas basados en módulo de computación de red virtual oculta encargo de Ursnif v2.
El Ursnif de Troya ha existido desde hace mucho tiempo - al menos una década que hace que sea uno de los troyanos bancarios más antiguos que se han creado. El malware fue descubierto por primera vez en 2007, y se ha ido cambiando desde entonces. Código de Ursnif fue, de hecho, se filtró en 2010 lo que condujo a su reutilización en las campañas de la marca Gozi. Más tarde, el código fuente fue re-utilizado una vez más en Nerverquest y GozNym troyanos bancarios.
Los investigadores también destacan el hecho de que “para todo el año de 2016 mediante 2017, Ursnif v2 ha sido uno de los mejores jugadores en el campo de la delincuencia informática financiera, tanto en términos de su evolución código y volúmenes de ataque".
Cómo mantenerse protegido frente a troyanos bancarios como Ursnif v3
A pesar de que Ursnif v3 está dirigido a bancos específicos, es un hecho bien conocido que las bandas de delitos informáticos son rápidos en el cambio de sus métodos y objetivos. Todos los usuarios deben tener en cuenta que los troyanos bancarios son siempre en el flojo, especialmente alrededor de las vacaciones de invierno, cuando las actividades del usuario en línea (comercial incluido) subir por la escala.
Considerar la implementación de los siguientes consejos para mejorar su higiene diaria y en línea para reducir el riesgo de convertirse en víctima de software malicioso.
- Asegúrese de utilizar la protección de firewall adicional. La descarga de un segundo servidor de seguridad es una solución excelente para cualquier intrusión potenciales.
- Asegúrese de que sus programas tienen menos poder administrativo sobre lo que leen y escribir en su ordenador. Hacer que se le solicitan acceso de administrador antes de iniciar.
- Utilice contraseñas fuertes. Contraseñas más fuertes (preferiblemente los que no son palabras) son más difíciles de romper por varios métodos, incluyendo ataques de fuerza bruta, ya que incluye listas de pase con palabras relevantes.
- Desactivar reproducción automática. Esto protege el ordenador de archivos ejecutables maliciosos en memorias USB u otros soportes de memoria externa que se insertan inmediatamente en él.
- Deshabilitar el uso compartido de archivos - recomendado si necesita compartir archivos entre el ordenador para proteger con contraseña para restringir la amenaza sólo a sí mismo si están infectados.
- Apague cualquier servicio remoto - esto puede ser devastador para las redes de negocios, ya que puede causar mucho daño a gran escala.
- Si usted ve a un servicio o un proceso que es Windows externa y no es crítico y está siendo explotada por los hackers (Al igual que Flash Player) desactivarlo hasta que haya una actualización que corrige el exploit.
- Asegúrese de actualizar y oportunas Aolly los parches de seguridad críticos para su software y sistema operativo.
- Configurar el servidor de correo para bloquear y borrar los archivos adjuntos sospechosos dentro de correos electrónicos.
- Si usted tiene un equipo comprometido en su red, asegúrese de aislar inmediatamente apagándola y desconexión con la mano desde la red.
- Apagar los puertos de infrarrojos o Bluetooth - los hackers les encanta usarlos para explotar dispositivos. En caso de que utilice Bluetooth, asegurarse de que supervise todos los dispositivos no autorizados que le solicitan a la par con ellos y el declive e investigar cualquier los sospechosos.
- Emplear una solución anti-malware de gran alcance para protegerse de las amenazas futuras de forma automática.
SpyHunter escáner sólo detecta la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: