______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Новый вариант банковского трояна Ursnif распространяется через вредоносные документы Microsoft Word

Новая улучшенная версия печально известного банковского трояна Ursnif использует инфраструктуру necurs botnet для итальянских компаний. Вредоносная программа в первую очередь ориентирована на финансовый сектор и был обнаружен первый в 2009 году.

Исследователи CSE Cybsec ZLab заметили новую кампанию, которая будет активна с 6 июня, она поразила итальянские компании вредоносными документами Microsoft Word и методами социальной инженерии, чтобы обмануть пользователей в включении макросов.

После того, как Ursnif заражен в машину он пытается распространить инфекцию на все другие адреса электронной почты в книге контактов и обмануть жертв это делает сообщение появилось в качестве ответа в предыдущем разговоре.

Сообщение электронной почты и инфекции — Ursnif Banking Trojan

Письмо было написано на неправильном итальянском языке, и документы, казалось, были созданы из более старой версии Microsoft Office, который просит пользователя, чтобы включить макросы.

Заражение начинается, как только пользователь включил макрос, который запускает вредоносный сценарий, который загружает и выполняет полезные данные с сервера C&C.

«Банковский троянец Ursnif может работать, не будучи замеченным как пользователем, так и операционной системой, потому что он способен вводить свой вредоносный код в “проводник.exe” процесс, который является одним из самых важных процессов в ОС Microsoft.”

С новым вариантом Ursnif различных доменов и различных макросов пятнистый, во время анализа исследователи заметили, что большинство доменов вышли в автономный режим.

Все домены были зарегистрированы под одной электронной почтой [whois-protect [@] hotmail[.] com], » исследуя адрес электронной почты, мы обнаружили, что он был использован для регистрации около 1000 различных доменов.»исследователи сказали.

Necurs ботнет является одним из крупнейших Malspam угрозы, которая распространяется киберпреступниками для доставки различных опасных вредоносных программ и вымогателей на основе весьма потенциальных угроз.

Он также отвечает за различные операции вымогателей атаки, как Jaff вымогателей, Скарабей вымогателей, банковских троянских Trickbot, и он играл самую большую роль распространения Locky вымогателей с 23 миллионов писем всего за 24 часа.

Это первый раз, когда кампания Ursnif использует инфраструктуру ботнета Necurs, CSE CyberSec Enterprise опубликовала полный аналитический отчет вместе с МОК, связанными с инцидентом.

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх