Les chercheurs d'IBM ont détecté une nouvelle variante du cheval de Troie Ursnif dont les développeurs ont été tester une nouvelle fonctionnalité dans les attaques actives. Ce code malveillant est basé sur le code du Ursnif original ou Gozi ISFB, mais il comporte quelques changements impliquant l'injection de code et les tactiques d'attaque.
Le numéro de version interne du cheval de Troie a également été mis à jour pour adapter cette nouvelle version, il est actuellement à Ursnif v3. Cependant, il convient de noter que la version précédente, Ursnif v2, est également actif dans la nature.
Bien que les changements ont été les plus importants dans le mécanisme d'injection de code, les pirates ont également développé des attaques de redirection pour cibler les clients d'affaires et de services bancaires aux entreprises en Australie, chercheurs. Le système de redirection est mise en œuvre par le fichier de configuration et non intégré dans le code lui-même, IBM a noté.
Ces changements peuvent servir d'indicateur qu'un nouveau groupe de cybercriminalité a repris l'opération Ursnif, surtout basée sur le fait que l'Australie a été la cible unique des dernières activités. Un fait à noter est que la nouvelle capacité ajoutée d'effectuer des attaques de la chaîne de redirection est également typique pour Dridex, opérations de GootKit et TrickBot.
Les attaques de redirection de Ursnif expliqué
Ces attaques de redirection déployés par les opérations en cours de programmes malveillants ciblent une liste spéciale des victimes - les petites banques et les coopératives de crédit en Australie. Quelques autres, configurations spécifiques bancaires ont également été ajoutées pour cibler les clients de services bancaires aux entreprises et des entreprises, des chercheurs c'est noté.
Lors d'une attaque de redirection, la victime est détournée vers un faux site Web hébergé sur un serveur contrôlé par l'attaquant. Le logiciel malveillant maintient une connexion en direct avec page web légitime de la banque pour faire en sorte que son véritable URL et le certificat numérique apparaissent dans la barre d'adresse de la victime. À ce moment, les acteurs malveillants peuvent utiliser webinjections pour voler des informations de connexion, codes d'authentification et d'autres informations personnelles (PII) sans déclenchement des mécanismes de détection de fraude de la banque.
Le sentiment général que cette campagne provoque est que les pirates tentent de voler sous le radar, distribution de tenue strictement ciblée. La raison pour cela est tout à fait évident - infections ciblées sont plus rentables et d'attirer moins d'attention non désirée.
Aussi, les pirates sont les plus susceptibles fient sur les systèmes de compte et la reprise de l'appareil basé sur le module de calcul de réseau virtuel caché personnalisée de v2 Ursnif.
Le Ursnif cheval de Troie a été autour depuis longtemps - au moins une dizaine d'années ce qui en fait l'un des chevaux de Troie bancaires les plus anciens jamais créé. Le logiciel malveillant a été découvert dans 2007, et il a changé depuis. Le code de Ursnif était en fait une fuite en 2010 ce qui a conduit à sa réutilisation dans des campagnes de marque Gozi. Plus tard, le code source a été réutilisée une fois de plus dans les chevaux de Troie bancaires Nerverquest et GozNym.
Les chercheurs soulignent également le fait que «pour l'année entière 2016 par 2017, Ursnif v2 a été l'un des meilleurs joueurs dans le domaine de la cybercriminalité financière, tant en termes de son évolution du code et des volumes d'attaque".
Comment rester protégé contre les chevaux de Troie bancaires tels que Ursnif v3
Même si Ursnif v3 vise actuellement les banques spécifiques, il est un fait bien connu que les gangs de la cybercriminalité sont rapides à déplacer leurs méthodes et objectifs. Tous les utilisateurs en ligne devraient prendre en considération le fait que les chevaux de Troie bancaires sont toujours en liberté, en particulier autour des vacances d'hiver, lorsque les activités des utilisateurs (achats inclus) remonter l'échelle.
Envisager d'appliquer les conseils ci-dessous pour améliorer votre hygiène quotidienne en ligne et de réduire le risque de devenir une victime sur les logiciels malveillants.
- Assurez-vous d'utiliser une protection de pare-feu supplémentaire. Le téléchargement d'un second pare-feu est une excellente solution pour toutes les intrusions potentielles.
- Assurez-vous que vos programmes ont moins de pouvoir administratif sur ce qu'ils lisent et écrire sur votre ordinateur. Faites-les vous invitent accès administrateur avant de commencer.
- Utilisez des mots de passe forts. Des mots de passe forts (ceux qui ne sont pas de préférence mots) sont plus difficiles à craquer par plusieurs méthodes, y compris brute forcer, car il comprend des listes de passe avec des mots pertinents.
- Éteignez lecture automatique. Cela protège votre ordinateur des fichiers exécutables malveillants sur des clés USB ou autres supports de mémoire externes qui sont immédiatement insérés dans ce.
- Désactiver le partage de fichiers - recommandé si vous avez besoin le partage de fichiers entre votre ordinateur par mot de passe protéger pour limiter la menace que pour vous-même si elles sont infectées.
- Eteignez tous les services à distance - cela peut être dévastateur pour les réseaux d'affaires, car il peut causer beaucoup de dégâts sur une grande échelle.
- Si vous voyez un service ou un processus qui est de Windows externe et pas critique et est exploitée par des pirates (Comme Flash Player) désactiver jusqu'à ce qu'il y est une mise à jour qui corrige l'exploit.
- Assurez-vous de mettre à jour et en temps opportun aolly les correctifs de sécurité critiques pour vos logiciels et OS.
- Configurez votre serveur de messagerie pour bloquer et supprimer des pièces jointes suspectes dans des e-mails.
- Si vous avez un ordinateur compromis dans votre réseau, assurez-vous d'isoler immédiatement en éteignant et en le déconnectant à la main à partir du réseau.
- Eteignez ports infrarouges ou Bluetooth - les pirates aiment à les utiliser pour exploiter les périphériques. Dans le cas où vous utilisez Bluetooth, assurez-vous que vous surveillez tous les périphériques non autorisés qui vous demandent de jumeler avec eux et de déclin et d'enquêter sur toutes les suspects.
- Employer une puissante solution anti-malware pour vous protéger contre les menaces futures automatiquement.
scanner SpyHunter ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter