Ursnif v3 Banking Trojan on the Loose met Intelligente Targeting

Onderzoekers van IBM hebben een nieuwe variant van de Ursnif Trojan waarvan ontwikkelaars zijn het testen van een nieuwe functie in actieve aanvallen gedetecteerd. Dit stukje malware is gebaseerd op de code van de oorspronkelijke Ursnif of Gozi ISFB, maar het beschikt over een aantal wijzigingen met betrekking tot de code-injectie en aanvalstactieken.

Het interne build-nummer van de Trojan is ook bijgewerkt om deze nieuwe versie te passen en is momenteel ingesteld op Ursnif v3. Echter, dient te worden opgemerkt dat de vorige build, Ursnif v2, is ook actief in het wild.

Terwijl de veranderingen waren het meest significant in de code-injectie mechanisme, hackers ook ontwikkeld redirection aanvallen te richten op business en corporate banking klanten in Australië, onderzoekers zei. De omleiding regeling wordt uitgevoerd door middel van het configuratiebestand en niet ingebed in de code zelf, IBM merkte.

Deze veranderingen kunnen dienen als een indicatie dat een nieuwe groep cybercrime via Ursnif operatie genomen, met name gebaseerd op het feit dat Australië het enige doel van de laatste activiteiten is geweest. Een feit vermelden waard is dat de nieuw toegevoegde mogelijkheid om redirection keten aanvallen uit te voeren is ook typerend voor Dridex, GootKit en TrickBot operaties.

Ursnif v3 redirection aanvallen uitgelegd

Deze omleiding aanvallen ingezet door de huidige malware activiteiten zijn gericht op een speciale lijst van slachtoffers - kleine banken en kredietinstellingen in Australië. Een paar andere, bank-specifieke configuraties werden ook toegevoegd aan business en corporate banking klanten te benaderen, onderzoekers bekend.

In een omleiding aanval, het slachtoffer wordt omgeleid naar een valse website die gehost wordt op een-aanvaller gecontroleerde server. De malware onderhoudt een live verbinding met de legitieme webpagina van de bank om ervoor te zorgen dat de echte URL en digitaal certificaat verschijnen in het slachtoffer adresbalk. Op dat punt, de kwaadaardige actoren webinjections gebruiken om inloggegevens te stelen, authenticatie codes en andere persoonlijk identificeerbare informatie (PII) zonder aanspreken van de bank fraudedetectiemechanismen.

Het algemene gevoel dat deze campagne provoceert is dat hackers proberen te vliegen onder de radar, keeping distributie zeer doelgericht. De reden hiervoor is vrij duidelijk - gericht infecties zijn meer winstgevende en minder ongewenste aandacht te trekken.

Ook, hackers zijn het meest waarschijnlijk een beroep op de rekening en het apparaat overname regelingen gebaseerd op Ursnif v2 aangepaste verborgen virtueel netwerk rekenmodule.

De Ursnif Trojan is rond voor een lange tijd - minstens een decennium waardoor het een van de langst bestaande banking Trojans ooit gemaakt. De malware werd voor het eerst ontdekt in 2007, en het is veranderd sindsdien. Ursnif De code werd in feite gelekt in 2010 die hebben geleid tot het hergebruik in Gozi-branded campagnes. Later, de broncode werd hergebruikt opnieuw in Nerverquest en GozNym banking Trojans.

Onderzoekers ook wijzen op het feit dat “voor het hele jaar van 2016 door 2017, Ursnif v2 is een van de topspelers in de financiële cybercrime arena, zowel in termen van de code evolutie en aanval volumes".

Hoe beschermd te blijven tegen banking Trojans zoals Ursnif v3

Hoewel Ursnif v3 is momenteel gericht op specifieke banken, Het is een bekend feit dat cybercrime gangs zijn snel verschuiven in hun methodes en doelstellingen. Alle online gebruikers moeten rekening mee houden dat banking Trojans zijn altijd op los, vooral rond de wintervakantie bij het online activiteiten van de gebruiker (shopping inclusive) ga de schaal.

Denk aan de uitvoering van de onderstaande tips om uw dagelijkse online hygiëne te verbeteren en om het risico om slachtoffer te worden op malware te verminderen.

• Zorg ervoor dat u extra bescherming firewall. Het downloaden van een tweede firewall is een uitstekende oplossing voor eventuele inbraken.
• Zorg ervoor dat uw programma's hebben minder administratieve macht over wat zij lezen en schrijven op de computer. Laat ze vraagt ​​u admin toegang voordat.
• Gebruik sterkere wachtwoorden. Sterkere wachtwoorden (bij voorkeur degenen die geen woorden zijn) zijn moeilijker te kraken door verscheidene werkwijzen, inclusief brute dwingen, omdat het bevat pas lijsten met relevante woorden.
• Schakel AutoPlay. Dit beschermt uw computer tegen kwaadaardige uitvoerbare bestanden op USB-sticks of andere externe geheugen vervoerders die onmiddellijk worden ingebracht in deze.
• Disable File Sharing - aanbevolen als u het delen van bestanden tussen uw computer te beveiligen met een wachtwoord aan de dreiging alleen om jezelf te beperken als besmet.
• Schakel op afstand diensten - dit kan verwoestende voor zakelijke netwerken, omdat het een veel schade kunnen veroorzaken op grote schaal.
• Als u een dienst of een proces dat externe en niet Windows kritisch en wordt uitgebuit door hackers (Zoals Flash Player) uitschakelen totdat er een update die lost de exploit.
• Zorg ervoor dat u bij te werken en tijdig aolly de kritieke security patches voor uw software en OS.
• Configureer uw e-mailserver te blokkeren en verwijderen van verdachte bijlagen in e-mails.
• Als u een besmette computer in uw netwerk, zorg ervoor om meteen door het uit te schakelen en het loskoppelen van het met de hand uit het netwerk te isoleren.
• Schakel Infraroodpoorten of Bluetooth - hackers houden om ze te gebruiken om apparaten te exploiteren. In het geval van Bluetooth gebruik je, Zorg ervoor dat u controleren alle ongeautoriseerde apparaten die u vraagt ​​om te koppelen met hen en verval en onderzoeken verdachte degenen.
• Gebruik een krachtige anti-malware oplossing om jezelf te beschermen tegen toekomstige bedreigingen automatisch.

SpyHunter scanner vindt u alleen de dreiging. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij: