Троян Урсниф был воскрешен и теперь использует ваши пароли

Иногда определенные инфекции не исчезают на протяжении десятилетий. Киберпреступникам удается настроить свои вредоносные коды и использовать их, чтобы снова и снова красть информацию и деньги. Сегодня мы хотели бы обратить ваше внимание на старую банковскую троянскую инфекцию, которая была модернизирована и теперь снова обходит весь кибер мир. Урсниф Троян снова вернулся и требует от корпоративных и индивидуальных пользователей повышенной осторожности, потому что вы никогда не узнаете, когда эта инфекция может проникнуть в вашу систему. Нашей главной целью в этом посте является повышение вашей осведомленности о таких опасных кибер-инфекциях.

Что такое Урсниф Троян?

Вам может быть интересно, почему мы говорим о банковском трояне, когда наша основная сфера деятельности - пароли и защита личной информации. Что ж, правда в том, что этот банковский троянец нацелен на ваши пароли, и поэтому мы считаем своим долгом сообщить вам об этом, даже если обычные пользователи могут не слишком стремиться выяснить, как удалить троянский вирус, потому что это то, что должно быть сделано с помощью лицензионного антишпионского инструмента.

Тем не менее, вот некоторая справочная информация об Урснифе Трояне, которую мы считаем, что вы должны знать. По данным ячейки интеграции кибербезопасности и связи Нью-Джерси (NJCCIC), троян Ursnif является одной из наиболее активных версий вредоносного ПО Gozi. Вы также можете найти его под именем Dreambot. Как правило, этот банковский троян распространяется с помощью наборов эксплойтов, вложений в спам и вредоносных ссылок.

Сам троян восходит к 2007 году, но не стал широко доступным до 2010 года, когда произошла утечка исходного кода вредоносного ПО Gozi. В результате киберпреступники, которые могли получить в свои руки код, могли легко настроить вредоносный код, что привело к появлению множества различных банковских троянов. Эти банковские трояны предназначались для нескольких банков, и угроза все еще существует, спустя более 12 лет после того, как эта вредоносная программа впервые подняла свою злобную голову.

Последняя волна урснифских троянских инфекций

Последний приступ инфекций был обнаружен Cisco Talos Intelligence Group. Группа заявила в своем блоге, что они отследили похитителя информации, когда их собственный механизм предотвращения эксплойтов предупредил их об этих инфекциях.

Новейший тип этого банковского трояна распространяется через фишинговые письма. Это, очевидно, показывает, что пользователи допускают проникновение этой вредоносной инфекции на свои компьютеры, а затем они отчаянно ищут способы удаления троянского вируса.

К этим фишинговым электронным письмам прилагаются файлы, похожие на документы Microsoft Word. Излишне говорить, что трудно представить что-то менее невинное, чем простой файл MS Word, и поэтому пользователи не чувствуют в этом ничего опасного. Когда целевые пользователи открывают этот документ, они видят изображение, которое просит их включить макросы. Это уже большой красный флаг, потому что включенные макросы часто используются банковскими троянами и другими вредоносными программами для заражения целевых компьютеров.

Включенные макросы запускают запутанный код, который выполняет несколько математических функций и в конечном итоге выполняет PowerShell. Эта команда подключается к вредоносному центру управления и контроля через удаленный сервер и загружает Unsnif в целевую систему. В результате троянец устанавливается на целевой компьютер. После этого Урсниф начинает обыскивать систему для получения банковской информации, данных для входа и так далее.

Поскольку фактический установочный файл не распространяется через фишинговую электронную почту, намного сложнее записать и отследить вредоносную активность. Вы также можете сказать, что легко избежать заражения этим банковским трояном, потому что все, что вам нужно сделать, это воздержаться от открытия вредоносного файла MS Word.

Однако, если мы немного подумаем о корпоративной системе и количестве электронных писем, которые сотрудники крупных компаний должны открывать ежедневно; было бы легче понять, как Урснифу удается войти в несколько систем по всему миру. Если открытие вложенных файлов является обычной процедурой, сотрудник с меньшей вероятностью будет обращать внимание на подозрительные аспекты вновь полученного электронного письма.

Поэтому, чтобы не ломать голову над тем, как удалить троянский вирус, было бы намного эффективнее информировать ваших сотрудников о предотвращении вредоносных программ. Некоторые методы безопасности также рекомендуют применять политику паролей.

Если у вас сложные пароли, банковскому трояну может быть сложно взломать файлы паролей на вашем компьютере. Хотя он не может предотвратить ущерб от заражения вредоносным ПО на 100%, он все равно может ограничить его, если ваша система будет взломана. Один из лучших способов создания и использования сложных паролей - использование менеджера паролей. Менеджер паролей может помочь вам создать надежные пароли и сохранить их в своем хранилище паролей. Также рекомендуется использовать брандмауэр для блокировки входящих подключений, которые пытаются подключиться к службам, которые не должны быть общедоступными. Вы всегда можете просмотреть контрольный список мер безопасности, которые вы можете использовать, чтобы избежать банковского трояна на любом веб-сайте, который занимается кибербезопасностью.

Вывод заключается в том, что этот банковский троянец предпочитает постоянную работу без файлов. Это усложняет антивирусным службам обнаружение его в обычном интернет-трафике. Мы даже не можем ожидать, что обычный пользователь сможет инвестировать в меры безопасности, которые могли бы фильтровать вредоносный трафик от обычного потока информации. Эксперты по безопасности соглашаются, что действительно сложно остановить установку Ursnif Trojan в целевой системе после запуска процесса загрузки.

Если вы работаете в большой сети компьютерных систем, вы можете обратиться к профессиональным техническим специалистам за более подробными рекомендациями. Мы понимаем, что иногда у небольших компаний нет средств для инвестирования в кибербезопасность, но даже в этом случае вам следует подумать о том, чтобы рассказать своим сотрудникам о потенциальных киберугрозах, таких как этот банковский троян, который может быть на расстоянии одного клика. Гораздо лучше применять ряд мер по предотвращению, чем бороться, чтобы искать способы последующего удаления троянской инфекции.