Casa > cibernético Notícias > Ursnif v3 Banking Trojan on the Loose with Sophisticated Targeting
CYBER NEWS

Ursnif v3 Banking Trojan on the Loose Com a segmentação sofisticada

Pesquisadores da IBM detectaram uma nova variante do Trojan Ursnif, cujos desenvolvedores testaram um novo recurso em ataques ativos. Esse malware é baseado no código do Ursnif ou Gozi ISFB original, but it features some changes involving the code injection and attack tactics.

The internal build number of the Trojan has also been updated to fit this new version and is currently set to Ursnif v3. Contudo, it should be noted that the previous build, Ursnif v2, is also active in the wild.

While changes were most significant in the code injection mechanism, hackers also developed redirection attacks to target business and corporate banking customers in Australia, disseram pesquisadores. The redirection scheme is implemented through the configuration file and not embedded into the code itself, IBM noted.

Story relacionado: GozNym Banking Trojan Attacks German Banks

These changes may serve as an indicator that a new cybercrime group has taken over the Ursnif operation, especially based on the fact that Australia has been the sole target of the latest activities. A fact worth mentioning is that the newly added capability to perform redirection chain attacks is also typical for Dridex, GootKit and TrickBot operations.

Ursnif v3 redirection attacks explained

These redirection attacks deployed by the current malware operations are targeting a special list of victims – small banks and credit unions in Australia. A few other, bank-specific configurations were also added to target business and corporate banking customers, pesquisadores notado.

In a redirection attack, the victim is diverted to a fake website hosted on an attacker-controlled server. The malware maintains a live connection with the bank’s legitimate webpage to ensure that its genuine URL and digital certificate appear in the victim’s address bar. At that point, the malicious actors can use webinjections to steal login credentials, authentication codes and other personally identifiable information (PII) without tripping the bank’s fraud detection mechanisms.

The overall feeling that this campaign provokes is that hackers are trying to fly under the radar, keeping distribution strictly targeted. The reason for this is quite obvious – focused infections are more profitable and attract less unwanted attention.

Além disso, hackers are most likely relying on account and device takeover schemes based on Ursnif v2’s custom hidden virtual network computing module.

The Ursnif Trojan has been around for a long time – at least a decade which makes it one of the longest-standing banking Trojans ever created. The malware was first uncovered in 2007, and it has been changing ever since. Ursnif’s code was in fact leaked in 2010 which led to its reuse in Gozi-branded campaigns. Mais tarde, the source code was re-used once again in Nerverquest and GozNym banking Trojans.

Story relacionado: TrickBot Banking Trojan Updated with WannaCry-Inspired Module

Researchers also highlight the fact that “for the entire year of 2016 através 2017, Ursnif v2 has been one of the top players in the financial cybercrime arena, both in terms of its code evolution and attack volumes”.

How to stay protected against banking Trojans such as Ursnif v3

Even though Ursnif v3 is currently targeting specific banks, it’s a well-known fact that cybercrime gangs are quick in shifting their methods and targets. All online users should take into consideration that banking Trojans are always on the loose, especially around the winter holidays when online user activities (shopping inclusive) go up the scale.

Consider implementing the tips below to improve your daily online hygiene and to reduce the risk of becoming a victim on malware.

  • Certifique-se de usar a proteção de firewall adicional. A descarga de um segundo firewall é uma excelente solução para quaisquer potenciais intrusões.
  • Certifique-se de que seus programas têm menos poder administrativo sobre o que ler e escrever no seu computador. Torná-los pedir-lhe acesso de administrador antes de iniciar.
  • Use senhas fortes. senhas fortes (de preferência aqueles que não são palavras) são mais difíceis de rachadura por vários métodos, incluindo força bruta, uma vez que inclui listas de passagem com palavras relevantes.
  • Desligue o AutoPlay. Isso protege o seu computador de arquivos executáveis ​​maliciosos no pen drives ou outros transportadores de memória externos que são imediatamente inseridos nele.
  • Compartilhamento de arquivos Disable - recomendado se você precisar de compartilhamento de arquivos entre o seu computador com senha protegê-lo para restringir a ameaça apenas para si mesmo se infectado.
  • Desligue quaisquer serviços remotos - isso pode ser devastador para redes empresariais, uma vez que pode causar uma série de danos em grande escala.
  • Se você ver um serviço ou um processo que é externo e não o Windows crítico e está sendo explorada por hackers (Como Flash Player) desativá-lo até que haja uma atualização que corrige o exploit.
  • Make sure to update and timely aolly the critical security patches for your software and OS.
  • Configure your mail server to block out and delete suspicious file attachments within emails.
  • Se você tem um computador infectado na sua rede, certifique-se de isolar-lo imediatamente por desligá-la e desconectá-lo manualmente a partir da rede.
  • Desligue As portas de infravermelhos ou Bluetooth - hackers gostam de usá-los para explorar dispositivos. No caso de você usar o Bluetooth, certifique-se de monitorar todos os dispositivos não autorizados que pedir-lhe para emparelhar com eles e declínio e investigar qualquer queridos suspeitos.
  • Empregar uma poderosa solução anti-malware para se proteger de eventuais ameaças futuras automaticamente.

Baixar

Remoção de Malware Ferramenta


digitalizador SpyHunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...