>> サイバーニュース > Ursnif v3 Banking Trojan on the Loose with Sophisticated Targeting
サイバーニュース

洗練されたターゲティングを備えた緩いUrsnifv3バンキング型トロイの木馬

IBMの研究者は、Ursnifトロイの木馬の新しい亜種を検出しました。その開発者は、アクティブな攻撃で新機能をテストしています。. このマルウェアは、元のUrsnifまたはGoziISFBのコードに基づいています, しかし、それはコードインジェクションと攻撃戦術を含むいくつかの変更を特徴としています.

トロイの木馬の内部ビルド番号もこの新しいバージョンに合うように更新されており、現在はUrsnifv3に設定されています。. でも, 以前のビルドに注意する必要があります, Ursnif v2, 野生でも活躍しています.

変更はコードインジェクションメカニズムで最も重要でしたが, ハッカーはまた、オーストラリアのビジネスおよびコーポレートバンキングの顧客を標的とするリダイレクト攻撃を開発しました, 研究者は言った. リダイレクトスキームは構成ファイルを介して実装され、コード自体には埋め込まれていません, IBMは指摘しました.

関連記事: GozNymバンキング型トロイの木馬がドイツの銀行を攻撃

これらの変更は、新しいサイバー犯罪グループがUrsnifの運用を引き継いだことを示すものとなる可能性があります, 特にオーストラリアが最新の活動の唯一のターゲットであるという事実に基づいて. 言及する価値のある事実は、リダイレクトチェーン攻撃を実行するために新しく追加された機能もDridexに典型的であるということです, GootKitとTrickBotの操作.

Ursnifv3リダイレクト攻撃の説明

現在のマルウェア操作によって展開されたこれらのリダイレクト攻撃は、オーストラリアの小さな銀行や信用組合など、被害者の特別なリストを標的としています。. 他のいくつか, 銀行固有の構成も、ビジネスおよびコーポレートバンキングの顧客を対象に追加されました, 研究者 了解しました.

リダイレクト攻撃で, 被害者は、攻撃者が制御するサーバーでホストされている偽のWebサイトに誘導されます. このマルウェアは、銀行の正規のWebページとのライブ接続を維持して、本物のURLとデジタル証明書が被害者のアドレスバーに表示されるようにします。. その時点で, 悪意のある攻撃者は、Webインジェクションを使用してログイン資格情報を盗むことができます, 認証コードおよびその他の個人を特定できる情報 (PII) 銀行の不正検出メカニズムを作動させることなく.

このキャンペーンが引き起こす全体的な感覚は、ハッカーがレーダーの下を飛ぶことを試みているということです, 配布を厳密にターゲットに保つ. この理由は非常に明白です–集中感染はより収益性が高く、不要な注目を集めることが少なくなります.

また, ハッカーは、Ursnifv2のカスタム隠し仮想ネットワークコンピューティングモジュールに基づくアカウントおよびデバイスの乗っ取りスキームに依存している可能性が最も高いです。.

Ursnifトロイの木馬は長い間存在しており、少なくとも10年は、これまでに作成された中で最も長い歴史を持つバンキング型トロイの木馬の1つになっています。. マルウェアは最初に発見されました 2007, それ以来変化しています. Ursnifのコードは実際にリークされました 2010 これがGoziブランドのキャンペーンでの再利用につながりました. 後で, ソースコードは、NerverquestおよびGozNymバンキング型トロイの木馬で再び再利用されました.

関連記事: WannaCryに触発されたモジュールで更新されたTrickBotバンキング型トロイの木馬

研究者はまた、「年間を通して 2016 終えた 2017, Ursnif v2は、金融サイバー犯罪の分野でトッププレーヤーの1つです。, コードの進化と攻撃量の両方の観点から」.

Ursnifv3などのバンキング型トロイの木馬から保護する方法

Ursnif v3は現在、特定の銀行を対象としていますが, サイバー犯罪ギャングが方法とターゲットをすばやく変更することはよく知られている事実です. すべてのオンラインユーザーは、バンキング型トロイの木馬が常に緩んでいることを考慮に入れる必要があります, 特に冬休みのオンラインユーザーアクティビティ (ショッピング込み) スケールを上げる.

毎日のオンライン衛生を改善し、マルウェアの被害者になるリスクを減らすために、以下のヒントを実装することを検討してください.

  • 追加のファイアウォール保護を使用してください. 2つ目のファイアウォールをダウンロードすることは、潜在的な侵入に対する優れたソリューションです。.
  • プログラムがコンピュータ上で読み書きするものに対する管理権限が少ないことを確認してください. 開始する前に、管理者アクセスを促すメッセージを表示する.
  • より強力なパスワードを使用する. より強力なパスワード (できれば言葉ではないもの) いくつかの方法で割るのは難しい, 関連する単語を含むパスリストが含まれているため、ブルートフォーシングを含む.
  • 自動再生をオフにする. これにより、すぐに挿入されるUSBスティックやその他の外部メモリキャリア上の悪意のある実行可能ファイルからコンピュータを保護します.
  • ファイル共有を無効にする–感染した場合にのみ脅威を制限するために、パスワードで保護するためにコンピューター間でファイル共有が必要な場合に推奨.
  • リモートサービスをオフにします。これは、大規模な損害を引き起こす可能性があるため、ビジネスネットワークに壊滅的な打撃を与える可能性があります。.
  • 外部であり、Windowsクリティカルではなく、ハッカーによって悪用されているサービスまたはプロセスを見つけた場合 (FlashPlayerのように) エクスプロイトを修正するアップデートがあるまで無効にします.
  • ソフトウェアとOSの重要なセキュリティパッチを更新し、タイムリーに実行するようにしてください.
  • 電子メール内の疑わしい添付ファイルをブロックして削除するようにメールサーバーを構成します.
  • ネットワークに侵入先のコンピュータがある場合, 電源を切り、ネットワークから手動で切断して、すぐに隔離してください。.
  • 赤外線ポートまたはBluetoothをオフにする–ハッカーはそれらを使用してデバイスを悪用するのが大好きです. Bluetoothを使用する場合, 許可されていないデバイスをすべて監視し、それらとペアリングして拒否し、疑わしいデバイスを調査するように促します。.
  • 強力なマルウェア対策ソリューションを採用して、将来の脅威から自動的に身を守ります.

ダウンロード

マルウェア除去ツール


SpyHunterスキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します