Ursnif Trojan Werd opgewekt en nu richt het uw wachtwoorden

Soms verdwijnen bepaalde infecties tientallen jaren niet. Cybercriminelen slagen erin om hun kwaadaardige codes aan te passen en deze te gebruiken om informatie en geld steeds opnieuw te stelen. Vandaag willen we uw aandacht vestigen op een oude bank-Trojan-infectie die is geüpgraded en nu weer rondjes maakt in de cyberwereld. Ursnif Trojan is weer terug en vraagt om verhoogde voorzichtigheid van zakelijke en individuele gebruikers omdat u nooit kunt weten wanneer deze infectie uw systeem kan binnendringen. Ons belangrijkste doel met deze blogpost is om u bewust te maken van dergelijke gevaarlijke cyberinfecties.

Wat is Ursnif Trojan?

Je vraagt je misschien af waarom we het hebben over een bank-trojan terwijl onze belangrijkste expertise bestaat uit wachtwoorden en persoonlijke informatiebeveiliging. Nou, de waarheid is dat deze bank-trojan zich richt op uw wachtwoorden, en daarom zijn wij van mening dat het onze plicht is u hierover te vertellen, hoewel gewone gebruikers misschien niet al te enthousiast zijn om erachter te komen hoe een Trojan-virus te verwijderen, want dat is iets dat moet worden gedaan met een gelicentieerde antispyware-tool.

Desalniettemin is hier wat achtergrondinformatie over Trojan van Ursnif waarvan wij denken dat u die moet weten. Volgens de New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) is de Ursnif Trojan een van de meest actieve versies van de Gozi-malware. Je kunt het ook vinden onder de naam Dreambot. Normaal verspreidt deze bank-trojan zich via exploitkits, spam-e-mailbijlagen en kwaadaardige links.

De Trojan zelf dateert al uit 2007, maar werd pas in 2010 algemeen beschikbaar toen de Gozi-malwarebroncode was gelekt. Als gevolg hiervan konden de cybercriminelen die de code in handen konden krijgen, de kwaadaardige code gemakkelijk aanpassen, wat leidde tot de opkomst van veel verschillende bank-Trojaanse paarden. Deze bank-Trojaanse paarden mikten op meerdere banken en de dreiging is er nog steeds, meer dan 12 jaar nadat deze malware voor het eerst zijn nare kop opstak.

De nieuwste golf van Trojan-infecties met Ursnif

De nieuwste reeks infecties is ontdekt door de Cisco Talos Intelligence Group. De groep had in hun blog verklaard dat ze de informatie-stealer hebben gevolgd toen hun eigen exploitpreventiemotor hen op deze infecties attendeerde.

Het nieuwste type van deze bank-trojan wordt verspreid via phishing-e-mails. Dit laat duidelijk zien dat gebruikers deze kwaadaardige infectie op hun computer laten binnendringen en dan wanhopig zoeken naar methoden om een Trojan-virus te verwijderen.

Deze phishing-e-mails worden geleverd met bijgevoegde bestanden die eruitzien als Microsoft Word-documenten. Onnodig te zeggen dat het moeilijk is om iets minder onschuldigs voor te stellen dan een eenvoudig MS Word-bestand, en daarom voelen gebruikers er niets gevaarlijks aan. Wanneer de beoogde gebruikers dit document openen, zien ze een afbeelding die hen vraagt om macro's in te schakelen. Dit is al een grote rode vlag, omdat ingeschakelde macro's vaak worden misbruikt door Trojaanse paarden en andere malware om doelcomputers te infecteren.

Ingeschakelde macro's starten een verborgen code die verschillende wiskundige functies uitvoert en uiteindelijk PowerShell uitvoert. Dit commando maakt via een externe server verbinding met het kwaadaardige commando- en controlecentrum en downloadt Unsnif naar het doelsysteem. Als gevolg hiervan wordt de Trojan op de doelcomputer geïnstalleerd. Daarna begint Ursnif het systeem te doorzoeken op bankgegevens, inloggegevens, enzovoort.

Omdat het eigenlijke installatiebestand niet via phishing-e-mail wordt verspreid, is het een stuk moeilijker om de schadelijke activiteit op te nemen en bij te houden. Je zou ook kunnen zeggen dat het gemakkelijk is om te voorkomen dat je geïnfecteerd raakt met deze bank-trojan omdat je alleen het kwaadaardige MS Word-bestand moet openen.

Als we echter even nadenken over een bedrijfssysteem en het aantal e-mails dat werknemers van grote bedrijven dagelijks moeten openen; is het misschien gemakkelijker om te begrijpen hoe Ursnif meerdere systemen wereldwijd kan invoeren. Als het openen van bijgevoegde bestanden een routine is, is het minder waarschijnlijk dat een werknemer aandacht schenkt aan de verdachte aspecten van een nieuw ontvangen e-mail.

Daarom zou het een stuk efficiënter zijn om uw werknemers voor te lichten over malwarepreventie, om te voorkomen dat u uw hersenen berooft over het verwijderen van een Trojan-virus. Sommige beveiligingsmethoden bevelen ook aan om een wachtwoordbeleid af te dwingen.

Als u complexe wachtwoorden hebt, kan het moeilijk zijn voor een bank-trojan om wachtwoordbestanden op uw computer te kraken. Hoewel het de schade van een malware-infectie niet 100% kan voorkomen, kan het toch worden beperkt als uw systeem wordt aangetast. Een van de beste manieren om complexe wachtwoorden te maken en te gebruiken, is door een wachtwoordbeheerder te gebruiken. Een wachtwoordbeheerder kan u helpen bij het genereren van sterke wachtwoorden en deze op te slaan in de wachtwoordkluis. Het is ook een goed idee om een firewall te gebruiken om inkomende verbindingen te blokkeren die proberen verbinding te maken met services die niet openbaar beschikbaar moeten zijn. U kunt altijd een checklist doornemen van de beveiligingsmaatregelen die u kunt nemen om een bank-trojan te voorkomen op elke website die zich bezighoudt met cyberbeveiliging.

De conclusie is dat deze bank-trojan "fileless" persistentie bevordert. Dit maakt het voor antivirusservices moeilijk om het in het normale internetverkeer te herkennen. We kunnen zelfs niet verwachten dat een gewone gebruiker zou kunnen investeren in beveiligingsmaatregelen die schadelijk verkeer kunnen filteren uit de gebruikelijke informatiestroom. Beveiligingsexperts zijn het erover eens dat het echt een uitdaging is om te voorkomen dat Ursnif Trojan op het doelsysteem wordt geïnstalleerd zodra het downloadproces is gestart.

Als u een groot netwerk van computersystemen beheert, wilt u misschien professionele technici aanspreken voor meer gedetailleerde aanbevelingen. We begrijpen dat kleinere bedrijven soms niet over de middelen beschikken om te investeren in cybersecurity, maar zelfs dan moet u overwegen uw werknemers te informeren over de potentiële cyberbedreigingen zoals deze Trojan voor bankieren die slechts een klik verwijderd zijn. Het is veel beter om een aantal preventiemaatregelen af te dwingen dan te zoeken naar manieren om later een Trojan-infectie te verwijderen.

February 7, 2020

Laat een antwoord achter