Ursnif Trojan ble gjenoppstått og nå målretter den mot passordene dine
Noen ganger forsvinner ikke visse infeksjoner på flere tiår. Cyberkriminelle klarer å tilpasse skadelige koder og bruke dem til å stjele informasjon og penger om og om igjen. I dag ønsker vi å trekke oppmerksomheten til en gammel bank-trojan-infeksjon som er blitt oppgradert og som nå gjør runder over cyber-verdenen igjen. Ursnif Trojan er tilbake igjen, og det krever økt forsiktighet fra bedrifter og enkeltpersoner fordi du aldri kan vite når denne infeksjonen kan lade inn i systemet ditt. Hovedmålet vårt med dette blogginnlegget er å øke bevisstheten din om slike farlige cyberinfeksjoner.
Hva er Ursnif Trojan?
Du lurer kanskje på hvorfor vi snakker om en bank-trojan når hovedomfanget av kompetanse er passord og personlig informasjonssikkerhet. Sannheten er at denne banktrojaneren rettes mot passordene dine, og derfor tror vi det er vår plikt å fortelle deg om dette, selv om vanlige brukere kanskje ikke er for ivrige etter å finne ut hvordan du kan fjerne et trojansk virus fordi det er noe som bør gjøres med et lisensiert antispionvareverktøy.
Likevel er her litt bakgrunnsinformasjon om Ursnif Trojan som vi mener du bør vite. I følge New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) er Ursnif Trojan en av de mest aktive versjonene av Gozi-malware. Du kan også finne at det er arkivert under Dreambot-navnet. Normalt sprer denne banktrojaneren seg rundt via utnyttelsessett, e-postvedlegg for spam og ondsinnede lenker.
Trojanen er helt tilbake til 2007, men den ble ikke allment tilgjengelig før i 2010 da Gozi-kildekoden for skadelig programvare ble lekket. Som et resultat kan cyberkriminelle som kunne få tak i koden lett tilpasse den ondsinnede koden, noe som førte til fremveksten av mange forskjellige banktrojanere. Disse banktrojanerne målrettet flere banker, og trusselen er fremdeles der, mer enn 12 år etter at skadelig programvare først reiste sitt styggeste hode.
Den siste bølgen av Ursnif trojanske infeksjoner
Den siste infeksjonen har blitt oppdaget av Cisco Talos Intelligence Group. Gruppen hadde uttalt i bloggen sin at de har sporet informasjonstealeren da deres egen forebyggingsmotor varslet dem om disse infeksjonene.
Den nyeste typen Trojan blir distribuert via nettfiskemails. Dette viser tydeligvis at brukere lar denne ondsinnede infeksjonen komme inn på datamaskinene sine, og så leter de desperat etter metoder for å fjerne et trojansk virus.
Disse phishing-e-postene kommer med vedlagte filer som ser ut som Microsoft Word-dokumenter. Det er unødvendig å si at det er vanskelig å forestille seg noe mindre uskyldig enn en enkel MS-ordfil, og brukerne opplever dermed ikke noe farlig ved det. Når målrettede brukere åpner dette dokumentet, ser de et bilde som ber dem aktivere makroer. Dette er allerede et stort rødt flagg fordi aktiverte makroer ofte blir utnyttet av banktrojanere og annen skadelig programvare for å infisere måldatamaskiner.
Aktiverte makroer lanserer en tilslørt kode som kjører flere matematikkfunksjoner og til slutt kjører PowerShell. Denne kommandoen kobles til det ondsinnede kommando- og kontrollsenteret over en ekstern server og laster ned Unsnif til målsystemet. Som et resultat blir Trojan installert på måldatamaskinen. Etter det begynner Ursnif å skure systemet for bankinformasjon, påloggingsdetaljer og så videre.
Siden den faktiske installasjonsfilen ikke distribueres via phishing-e-post, er det mye vanskeligere å registrere og spore den ondsinnede aktiviteten. Du kan også si at det er lett å unngå å bli smittet med denne banktrojaneren, fordi alt du trenger å gjøre er å avstå fra å åpne den ondsinnede MS Word-filen.
Men hvis vi tenker på et bedriftssystem for litt og antall e-postmeldinger som ansatte i store selskaper må åpne på daglig basis; kan det være lettere å forstå hvordan Ursnif klarer å gå inn i flere systemer over hele verden. Hvis det er en rutine å åpne vedlagte filer, er det mindre sannsynlig at en ansatt vil være oppmerksom på de mistenkelige aspektene ved en nylig mottatt e-post.
Derfor vil det være mye mer effektivt å utdanne dine ansatte om forebygging av skadelig programvare for å unngå å tømme hjernen din om hvordan du fjerner et trojan-virus. Noen sikkerhetspraksis anbefaler også å håndheve en passordpolicy.
Hvis du har komplekse passord, kan det være vanskelig for en bank-trojaner å sprekke passordfiler på datamaskinen din. Selv om det ikke kan forhindre skaden av en malware-infeksjon 100%, kan det fortsatt begrense den når systemet ditt blir kompromittert. En av de beste måtene å lage og ansette komplekse passord er ved å bruke en passordbehandling. En passordbehandling kan hjelpe deg med å generere sterke passord og lagre dem i passordhvelvet. Det er også en god idé å ansette en brannmur for å blokkere innkommende tilkoblinger som prøver å koble til tjenester som ikke skal være offentlig tilgjengelige. Du kan alltid gå gjennom en sjekkliste over sikkerhetstiltakene du kan bruke for å unngå en bank-trojan på ethvert nettsted som omhandler cybersikkerhet.
Konklusjonen er at denne banktrojaneren favoriserer "fileless" utholdenhet. Dette gjør det vanskelig for antivirus-tjenester å oppdage det i den vanlige Internett-trafikken. Vi kan ikke en gang forvente at en vanlig bruker vil kunne investere i sikkerhetstiltak som kan filtrere ondsinnet trafikk fra den vanlige flyten av informasjon. Sikkerhetseksperter er enige om at det virkelig er utfordrende å stoppe Ursnif Trojan fra å bli installert på målsystemet når nedlastingsprosessen er startet.
Hvis du kjører et stort nettverk av datasystemer, kan det være lurt å henvende seg til profesjonelle teknikere for mer detaljerte anbefalinger. Vi forstår at noen ganger mindre selskaper ikke har midler til å investere i cybersikkerhet, men selv da bør du vurdere å utdanne dine ansatte om potensielle cybertrusler som denne banktrojaneren som bare kan være et klikk unna. Det er mye bedre å håndheve en rekke forebyggende tiltak enn å krysse for å se etter måter å fjerne en trojansk infeksjon senere.
