Ursnifトロイの木馬が復活し、今ではパスワードを標的にしています
時には、特定の感染症が何十年も消えないことがあります。サイバー犯罪者は、悪意のあるコードをカスタマイズし、それを使用して情報やお金を何度も盗みます。本日は、アップグレードされ、再びサイバー世界を駆け巡っている古い銀行のトロイの木馬感染に注意を喚起したいと思います。 Ursnifトロイの木馬が再び戻ってきましたが、この感染がシステムに侵入する可能性があることを知ることができないため、企業ユーザーや個人ユーザーからの注意を強化する必要があります。このブログ投稿の主な目標は、このような危険なサイバー感染に対する意識を高めることです。
Ursnif Trojanとは何ですか?
専門知識の主な範囲がパスワードと個人情報のセキュリティであるのに、なぜ銀行トロイの木馬について話しているのか疑問に思われるかもしれません。実は、このバンキング型トロイの木馬はパスワードを標的にしているため、通常のユーザーはトロイの木馬ウイルスを削除する方法を見つけたがらないので、これについて説明する義務があると考えています。ライセンスされたスパイウェア対策ツールを使用して行う必要があります。
それでも、Ursnifトロイの木馬に関する背景情報をいくつか知っておく必要があります。ニュージャージーのサイバーセキュリティと通信統合セル(NJCCIC)によると、 Ursnifトロイの木馬はGoziマルウェアの最もアクティブなバージョンの1つです。また、Dreambotの名前でファイルされていることもあります。通常、このバンキング型トロイの木馬は、エクスプロイトキット、スパムメールの添付ファイル、悪意のあるリンクを介して拡散します。
このトロイの木馬自体は2007年にさかのぼりますが、2010年にGoziマルウェアソースコードが漏洩するまで広く利用可能になりませんでした。その結果、コードを手に入れることができるサイバー犯罪者は、悪意のあるコードを簡単にカスタマイズでき、多くの異なる銀行トロイの木馬の出現につながります。これらのバンキング型トロイの木馬は複数の銀行を標的としており、このマルウェアが最初に厄介な頭を育ててから12年以上経った今も脅威は存在しています。
Ursnifトロイの木馬感染の最新の波
Cisco Talos Intelligence Groupは、最新の感染症を発見しました。このグループは、自身のエクスプロイト防止エンジンがこれらの感染を警告したときに、情報盗みを追跡したとブログで述べていました。
このバンキング型トロイの木馬の最新タイプは、フィッシングメールを介して配信されます。これは明らかに、ユーザーがこの悪意のある感染を自分のコンピューターに入力することを許可し、その後トロイの木馬ウイルスを削除する方法を必死に探していることを示しています。
これらのフィッシングメールには、Microsoft Word文書のように見える添付ファイルが付属しています。言うまでもなく、単純なMSワードファイルほど無害なものを想像するのは難しいため、ユーザーはそれについて危険なことを感じません。ターゲットユーザーがこのドキュメントを開くと、マクロを有効にするように求める画像が表示されます。有効になっているマクロは、銀行のトロイの木馬やその他のマルウェアによって標的のコンピューターに感染することが多いため、これはすでに大きな危険です。
有効なマクロは、いくつかの数学関数を実行し、最終的にPowerShellを実行する難読化されたコードを起動します。このコマンドは、リモートサーバーを介して悪意のあるコマンドアンドコントロールセンターに接続し、Unsnifをターゲットシステムにダウンロードします。その結果、トロイの木馬はターゲットコンピュータにインストールされます。その後、Ursnifは銀行情報、ログイン詳細などを求めてシステムを探し始めます。
実際のインストールファイルはフィッシングメールを介して配信されないため、悪意のあるアクティビティを記録および追跡するのは非常に困難です。また、悪意のあるMS Wordファイルを開かないようにするだけで、この銀行のトロイの木馬に感染するのを避けるのは簡単だと言うかもしれません。
ただし、大企業の従業員が日常的に開封しなければならない電子メールの数と数について、企業システムについて考えると、 Ursnifが世界中の複数のシステムに参入する方法を理解する方が簡単かもしれません。添付ファイルを開くことが日常的な場合、従業員は新しく受信した電子メールの疑わしい側面に注意を払う可能性が低くなります。
したがって、トロイの木馬ウイルスを削除する方法について頭を悩ませるのを避けるには、従業員にマルウェア防止について教育する方がはるかに効率的です。一部のセキュリティ慣行では、パスワードポリシーを適用することも推奨されています。
複雑なパスワードを使用している場合、銀行のトロイの木馬がコンピューター上のパスワードファイルを解読することは困難です。マルウェア感染の被害を100%防ぐことはできませんが、システムが危険にさらされると制限される可能性があります。複雑なパスワードを作成して使用する最良の方法の1つは、 パスワードマネージャーを使用することです。パスワードマネージャーを使用すると、強力なパスワードを生成し、パスワードボールトに保存できます。ファイアウォールを使用して、一般に利用できないサービスに接続しようとする着信接続をブロックすることもお勧めします。サイバーセキュリティを扱うWebサイトで、銀行のトロイの木馬を回避するために使用できるセキュリティ対策のチェックリストをいつでも確認できます。
結論は、このバンキング型トロイの木馬は「ファイルレス」永続性を好むということです。これにより、ウイルス対策サービスが通常のインターネットトラフィックでそれを見つけるのが難しくなります。通常のユーザーが、通常の情報の流れから悪意のあるトラフィックをフィルタリングする可能性のあるセキュリティ対策に投資できるとは期待できません。セキュリティの専門家は、ダウンロードプロセスが開始された後、Ursnifトロイの木馬がターゲットシステムにインストールされるのを止めることは本当に難しいことに同意します。
コンピュータシステムの大規模なネットワークを実行している場合は、より詳細な推奨事項について専門の技術者に問い合わせることができます。小規模企業にはサイバーセキュリティに投資する資金がない場合があることを理解していますが、それでも、クリックするだけでこの銀行トロイの木馬のような潜在的なサイバー脅威について従業員に教育することを検討する必要があります。後でトロイの木馬の感染を除去する方法を探すためにスクランブルするよりも、多くの予防策を実施する方がはるかに優れています。