Pesquisadores da IBM detectaram uma nova variante do Trojan Ursnif, cujos desenvolvedores testaram um novo recurso em ataques ativos. Esse malware é baseado no código do Ursnif ou Gozi ISFB original, mas apresenta algumas mudanças envolvendo a injeção de código e táticas de ataque.
O número de compilação interno do Trojan também foi atualizado para se adequar a esta nova versão e atualmente está definido como Ursnif v3. Contudo, deve-se notar que a construção anterior, Ursnif v2, também é ativo na natureza.
Enquanto as mudanças foram mais significativas no mecanismo de injeção de código, hackers também desenvolveram ataques de redirecionamento para clientes de negócios e bancos corporativos na Austrália, disseram pesquisadores. O esquema de redirecionamento é implementado através do arquivo de configuração e não embutido no próprio código, IBM observou.
Essas mudanças podem servir como um indicador de que um novo grupo de crimes cibernéticos assumiu a operação Ursnif, especialmente com base no fato de que a Austrália tem sido o único alvo das últimas atividades. Um fato que vale a pena mencionar é que a capacidade recém-adicionada de realizar ataques em cadeia de redirecionamento também é típica do Dridex, Operações GootKit e TrickBot.
Ataques de redirecionamento Ursnif v3 explicados
Esses ataques de redirecionamento implantados pelas atuais operações de malware visam uma lista especial de vítimas – pequenos bancos e cooperativas de crédito na Austrália. Alguns outros, configurações específicas do banco também foram adicionadas aos clientes-alvo de negócios e bancos corporativos, pesquisadores notado.
Em um ataque de redirecionamento, a vítima é desviada para um site falso hospedado em um servidor controlado pelo invasor. O malware mantém uma conexão ativa com a página legítima do banco para garantir que seu URL genuíno e certificado digital apareçam na barra de endereço da vítima. Nesse ponto, os atores maliciosos podem usar webinjections para roubar credenciais de login, códigos de autenticação e outras informações de identificação pessoal (PII) sem tropeçar nos mecanismos de detecção de fraude do banco.
A sensação geral que esta campanha provoca é que os hackers estão tentando voar sob o radar, mantendo a distribuição estritamente direcionada. A razão para isso é bastante óbvia – infecções focadas são mais lucrativas e atraem menos atenção indesejada.
Além disso, os hackers provavelmente confiam em esquemas de controle de contas e dispositivos baseados no módulo de computação de rede virtual oculta personalizado do Ursnif v2.
O Trojan Ursnif existe há muito tempo - pelo menos uma década, o que o torna um dos Trojans bancários mais antigos já criados. O malware foi descoberto pela primeira vez em 2007, e vem mudando desde então. O código de Ursnif foi de fato vazado em 2010 que levou à sua reutilização em campanhas da marca Gozi. Mais tarde, o código fonte foi reutilizado mais uma vez em Trojans bancários Nerverquest e GozNym.
Os pesquisadores também destacam o fato de que “para todo o ano de 2016 através 2017, Ursnif v2 tem sido um dos principais players na arena do cibercrime financeiro, tanto em termos de evolução de código quanto de volumes de ataque”.
Como se manter protegido contra Trojans bancários, como Ursnif v3
Embora o Ursnif v3 esteja atualmente mirando em bancos específicos, é um fato bem conhecido que as gangues de crimes cibernéticos são rápidas em mudar seus métodos e alvos. Todos os usuários online devem levar em consideração que os Trojans bancários estão sempre à solta, especialmente nas férias de inverno, quando as atividades dos usuários online (compras inclusas) subir a escala.
Considere implementar as dicas abaixo para melhorar sua higiene online diária e reduzir o risco de se tornar uma vítima de malware.
- Certifique-se de usar a proteção de firewall adicional. A descarga de um segundo firewall é uma excelente solução para quaisquer potenciais intrusões.
- Certifique-se de que seus programas têm menos poder administrativo sobre o que ler e escrever no seu computador. Torná-los pedir-lhe acesso de administrador antes de iniciar.
- Use senhas fortes. senhas fortes (de preferência aqueles que não são palavras) são mais difíceis de rachadura por vários métodos, incluindo força bruta, uma vez que inclui listas de passagem com palavras relevantes.
- Desligue o AutoPlay. Isso protege o seu computador de arquivos executáveis maliciosos no pen drives ou outros transportadores de memória externos que são imediatamente inseridos nele.
- Compartilhamento de arquivos Disable - recomendado se você precisar de compartilhamento de arquivos entre o seu computador com senha protegê-lo para restringir a ameaça apenas para si mesmo se infectado.
- Desligue quaisquer serviços remotos - isso pode ser devastador para redes empresariais, uma vez que pode causar uma série de danos em grande escala.
- Se você ver um serviço ou um processo que é externo e não o Windows crítico e está sendo explorada por hackers (Como Flash Player) desativá-lo até que haja uma atualização que corrige o exploit.
- Certifique-se de atualizar e oportunamente os patches de segurança críticos para o seu software e sistema operacional.
- Configure seu servidor de e-mail para bloquear e excluir anexos de arquivos suspeitos em e-mails.
- Se você tem um computador infectado na sua rede, certifique-se de isolar-lo imediatamente por desligá-la e desconectá-lo manualmente a partir da rede.
- Desligue As portas de infravermelhos ou Bluetooth - hackers gostam de usá-los para explorar dispositivos. No caso de você usar o Bluetooth, certifique-se de monitorar todos os dispositivos não autorizados que pedir-lhe para emparelhar com eles e declínio e investigar qualquer queridos suspeitos.
- Empregar uma poderosa solução anti-malware para se proteger de eventuais ameaças futuras automaticamente.
digitalizador SpyHunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter