Az Ursnif trójai feltámadt és most megcélozza a jelszavait
Bizonyos fertőzések néha évszázadok óta nem tűnnek el. A számítógépes bűnözőknek sikerül testreszabniuk a rosszindulatú kódjaikat, és ezeket újra és újra ellopják információk és pénzek felhasználásával. Ma szeretnénk felhívni a figyelmüket egy régi bankközi trójai fertőzésre, amelyet továbbfejlesztettek és most újra körbekerül a számítógépes világban. Az Ursnif Trojan ismét visszatért, és fokozott óvatosságot igényel a vállalati és az egyéni felhasználók számára, mert soha nem tudhatja, mikor ez a fertőzés bejuthat a rendszerébe. Ennek a blogbejegyzésnek az a fő célja, hogy felhívjuk a figyelmünket az ilyen veszélyes számítógépes fertőzésekre.
Mi az Ursnif trójai?
Kíváncsi lehet, miért beszélünk egy banki trójairól, amikor fő szakterületünk a jelszavak és a személyes adatok biztonsága. Nos, az az igazság, hogy ez a banki trójai megcélozza a jelszavait, és ezért úgy gondoljuk, hogy a mi kötelességünk erről tájékoztatni, még akkor is, ha a szokásos felhasználók nem túl lelkesen tudják megtudni, hogyan lehet eltávolítani a trójai vírust, mert ez valami egy engedélyezett kémprogram-elhárító eszközzel kell elvégezni.
Ennek ellenére itt van néhány háttér-információ az Ursnif trójairól, amelyeket véleményünk szerint tudnod kell. A New Jersey kiberbiztonsági és kommunikációs integrációs cellája (NJCCIC) szerint az Ursnif trójai a Gozi rosszindulatú programok egyik aktív verziója. Találhatja azt a Dreambot név alatt is. Ez a banki trójai rendszerint kizsákmányoló készletek, spam e-mail mellékletek és rosszindulatú linkek útján terjed.
Maga a trójai egészen 2007-ig nyúlik vissza, de csak 2010-ig vált elérhetővé, amikor kiszivárogtak a Gozi rosszindulatú programok forráskódjai. Ennek eredményeként azok a számítógépes bűnözők, akik kézbe tudták venni a kódot, könnyen testreszabhatják a rosszindulatú kódot, ami számos különféle banki trójaiak megjelenéséhez vezet. Ezek a banki trójaiak több bankot céloztak meg, és a fenyegetés továbbra is fennáll, több mint 12 évvel azután, hogy ez a rosszindulatú program rosszul fejezte be a fejét.
Az Ursnif trójai fertőzések legújabb hulláma
A Cisco Talos Intelligence Group észlelte a fertőzések legutóbbi rohamát. A csoport blogjában kijelentette, hogy nyomon követte az információ-lopót, amikor saját kizsákmányolásuk megelőző motorja riasztotta őket ezekre a fertőzésekre.
A banki trójai legújabb típusát adathalász e-mailek útján terjesztik. Ez nyilvánvalóan azt mutatja, hogy a felhasználók engedik, hogy ez a rosszindulatú fertőzés bekerüljön a számítógépükbe, majd kétségbeesetten keresik a trójai vírus eltávolításának módszereit.
Ezekhez az adathalász e-mailekhez mellékelt fájlok tartoznak, amelyek úgy néznek ki, mint a Microsoft Word dokumentumok. Mondanom sem kell, hogy valami kevésbé ártatlan képet el lehet képzelni, mint egy egyszerű MS szófájlt, így a felhasználók nem érzékelnek semmi veszélyes dolgot benne. Amikor a megcélzott felhasználók megnyitják ezt a dokumentumot, látnak egy képet, amely felkéri őket a makrók engedélyezésére. Ez már egy nagy vörös zászló, mivel az engedélyezett makrókat a trójaiak és más rosszindulatú programok gyakran kihasználják a célszámítógépek megfertőzésére.
Az engedélyezett makrók elfuttatott kódot indítanak, amely több matematikai funkciót futtat, és végül végrehajtja a PowerShell programot. Ez a parancs egy távoli kiszolgálón keresztül kapcsolódik a rosszindulatú parancs- és vezérlőközponthoz, és letölti az Unsnif fájlt a célrendszerre. Ennek eredményeként a trójai települ a célszámítógépre. Ezt követően az Ursnif megkezdi a rendszer keresését banki információkkal, bejelentkezési adatokkal és így tovább.
Mivel a tényleges telepítőfájlt nem osztják el adathalász e-mailen keresztül, sokkal nehezebb a rosszindulatú tevékenység rögzítése és nyomon követése. Azt is mondhatja, hogy könnyű elkerülni a fertőzést a banki trójai miatt, mivel csupán annyit kell tennie, hogy tartózkodjon a rosszindulatú MS Word-fájl megnyitásától.
Ha azonban egy kicsit gondolkodunk egy vállalati rendszerről és az e-mailek számáról, amelyeket a nagyvállalati alkalmazottaknak napi szinten kell nyitniuk; könnyebb megérteni, hogy az Ursnif hogyan képes több rendszerbe belépni világszerte. Ha a csatolt fájlok megnyitása rutin, akkor az alkalmazott kevésbé hajlandó figyelni az újonnan kapott e-mail gyanús aspektusaira.
Ezért a trójai vírus eltávolításának elkerülése érdekében sokkal hatékonyabb lenne oktatni az alkalmazottakat a rosszindulatú programok megelőzéséről. Néhány biztonsági gyakorlat azt is javasolja, hogy érvényesítsék a jelszavas házirendet.
Ha összetett jelszavakkal rendelkezik, a banki trójai számára nehéz lehet megtörni a jelszófájlokat a számítógépen. Annak ellenére, hogy 100% -kal nem tudja megakadályozni egy rosszindulatú program okozta fertőzést, mégis korlátozhatja azt, ha a rendszer veszélybe kerül. Az egyik legjobb módja, hogy hozzon létre, és olyan komplex jelszavak használatával jelszó igazgató. A jelszókezelő segíthet erős jelszavak előállításában, és a jelszó tárolójában tárolhatja azokat. Az is jó ötlet, hogy tűzfalat alkalmazzon a bejövő kapcsolatok blokkolására, amelyek megpróbálnak kapcsolódni olyan szolgáltatásokhoz, amelyek nem lehetnek nyilvánosan elérhetők. Bármilyen számítógépes biztonsággal foglalkozó webhelyen bármikor áttekintheti az alkalmazott biztonsági intézkedések ellenőrző listáját.
A következtetés az, hogy ez a banki trójai a "fájl nélküli" kitartást részesíti előnyben. Ez megnehezíti a víruskereső szolgáltatásokat, hogy észrevegyék a normál internetes forgalomban. Nem is számíthatunk arra, hogy a szokásos felhasználók képesek lennének befektetni olyan biztonsági intézkedésekbe, amelyek kiszűrhetik a rosszindulatú forgalmat a szokásos információáramlásból. A biztonsági szakértők egyetértenek abban, hogy valóban kihívást jelent az, hogy megakadályozzuk az Ursnif trójai települését a célrendszerbe, miután a letöltési folyamat megindult.
Ha nagy számítógépes rendszerek hálózatát üzemelteti, érdemes felkeresni a szakmai szakembereket, hogy részletesebb ajánlásokat kapjanak. Megértjük, hogy néha a kisebb vállalatoknak nincs elegendő forrása a kiberbiztonságba történő befektetéshez, de akkor is fontolóra kell vennie alkalmazottainak oktatását a lehetséges számítógépes fenyegetésekről, mint ez a banki trójai, amely csak egy kattintásnyira lehet. Sokkal jobb számos megelőző intézkedés végrehajtása, mint a rákattintás, hogy módszereket keressenek a trójai fertőzés későbbi eltávolítására.