Ursnif Trojan återuppstod och nu riktar den sig till dina lösenord

Ibland försvinner vissa infektioner inte på decennier. Cyberbrottslingar lyckas anpassa sina skadliga koder och använder dem för att stjäla information och pengar om och om igen. Idag vill vi uppmärksamma en gammal bank-trojaninfektion som har uppgraderats och som nu gör rundor över cybervärlden igen. Ursnif Trojan är tillbaka igen, och det kräver ökad försiktighet från företag och enskilda användare eftersom du aldrig kan veta när denna infektion kan pramma in i ditt system. Vårt huvudmål med detta blogginlägg är att öka din medvetenhet om sådana farliga cyberinfektioner.

Vad är Ursnif Trojan?

Du undrar kanske varför vi talar om en bank-trojan när vårt huvudsakliga kompetensområde är lösenord och personlig informationssäkerhet. Sanningen är att den här bank-trojanen riktar sig till dina lösenord, och därför tror vi att det är vår plikt att berätta om detta, även om vanliga användare kanske inte är för ivriga att ta reda på hur man tar bort ett trojanskt virus eftersom det är något som bör göras med ett licensierat antispionprogram.

Ändå är här lite bakgrundsinformation om Ursnif Trojan som vi anser att du borde veta. Enligt New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) är Ursnif Trojan en av de mest aktiva versionerna av Gozi-skadlig programvara. Du kanske också hittar det lagrat under Dreambot-namnet. Normalt sprider den här bank-trojanen sig via exploitsatser, e-postbilagor för skräppost och skadliga länkar.

Trojanen är helt tillbaka till 2007, men den blev inte allmänt tillgänglig förrän 2010 då Gozi-källkodskällan läckte ut. Som ett resultat kan cyberbrottslingar som kunde få tag på koden lätt anpassa den skadliga koden, vilket leder till uppkomsten av många olika bank-trojaner. Dessa bank-trojaner riktade sig till flera banker, och hotet är fortfarande kvar, mer än 12 år efter att detta skadliga program först födde sitt otäcka huvud.

Den senaste vågen av Ursnif Trojan-infektioner

Cisco Talos Intelligence Group har upptäckt den senaste infektionen. Gruppen hade på sin blogg sagt att de har spårat informationsstealern när deras egen exploateringsförebyggande motor varnade dem för dessa infektioner.

Den senaste typen av denna bank-trojan distribueras via phishing-mejl. Detta visar uppenbarligen att användare tillåter denna skadliga infektion att komma in i sina datorer, och sedan letar de desperat efter metoder för att ta bort ett trojanskt virus.

Dessa phishing-e-postmeddelanden har bifogade filer som ser ut som Microsoft Word-dokument. Självfallet är det svårt att föreställa sig något mindre oskyldigt än en enkel MS-ordfil, och användarna känner därför inte något farligt med det. När de riktade användarna öppnar detta dokument ser de en bild som ber dem att aktivera makron. Detta är redan en stor röd flagga eftersom aktiverade makron ofta utnyttjas av bank-trojaner och andra skadliga program för att infektera måldatorer.

Aktiverade makroer startar en obuskerad kod som kör flera matematikfunktioner och så småningom kör PowerShell. Detta kommando ansluts till det skadliga kommandot och kontrollcentret över en fjärrserver och laddar ner Unsnif till målsystemet. Som ett resultat installeras Trojan på måldatorn. Därefter börjar Ursnif skura systemet för bankinformation, inloggningsinformation och så vidare.

Eftersom den faktiska installationsfilen inte distribueras via phishing-e-post är det mycket svårare att spela in och spåra skadlig aktivitet. Du kan också säga att det är lätt att undvika att bli smittad med denna bank-trojan eftersom allt du behöver göra är att avstå från att öppna den skadliga MS Word-filen.

Men om vi funderar på ett företagssystem för lite och antalet e-postmeddelanden som stora företagets anställda måste öppna dagligen; Det kan vara lättare att förstå hur Ursnif lyckas komma in i flera system över hela världen. Om det är en rutin att öppna bifogade filer är det mindre troligt att en anställd uppmärksammar de misstänkta aspekterna av ett nyligen mottaget e-postmeddelande.

Därför skulle det vara mycket effektivare att utbilda dina anställda om förebyggande av skadlig programvara för att undvika att ta bort din hjärna om hur du tar bort ett trojanvirus. Vissa säkerhetsrutiner rekommenderar också att man löser en lösenordspolicy.

Om du har komplexa lösenord kan det vara svårt för en bank-trojan att knäcka lösenordsfiler på din dator. Även om det inte kan förhindra skadorna på en malware-infektion 100%, kan det fortfarande begränsa den när ditt system har komprometterats. Ett av de bästa sätten att skapa och anställa komplexa lösenord är med hjälp av en lösenordshanterare. En lösenordshanterare kan hjälpa dig att skapa starka lösenord och lagra dem i dess lösenordsvalv. Det är också en bra idé att använda en brandvägg för att blockera inkommande anslutningar som försöker ansluta till tjänster som inte borde vara offentligt tillgängliga. Du kan alltid gå igenom en checklista över de säkerhetsåtgärder du kan använda för att undvika en bank-trojan på alla webbplatser som hanterar cybersäkerhet.

Slutsatsen är att denna bank-trojan gynnar "fileless" uthållighet. Detta gör det svårt för antivirustjänster att upptäcka den i den normala Internet-trafiken. Vi kan inte ens förvänta oss att en vanlig användare skulle kunna investera i säkerhetsåtgärder som kan filtrera skadlig trafik från det vanliga informationsflödet. Säkerhetsexperter håller med om att det verkligen är utmanande att hindra Ursnif Trojan från att installeras på målsystemet när nedladdningsprocessen har startats.

Om du driver ett stort nätverk av datorsystem kanske du vill kontakta professionella tekniker för mer detaljerade rekommendationer. Vi förstår att mindre företag ibland inte har pengar att investera i cybersäkerhet, men även då bör du överväga att utbilda dina anställda om potentiella cyberhot som den här bank-trojanen som bara kan klickas bort. Det är mycket bättre att genomföra ett antal förebyggande åtgärder än att krypa för att leta efter sätt att ta bort en trojansk infektion senare.