據IBM X-Force的研究人員透露,從上個月開始,網絡罪犯分子就開始通過垃圾郵件傳播一個臭名昭著的銀行木馬——Ursnif。
Ursnif,也被稱為a.k.a Gozi,是由Gozi銀行木馬經歷了多年的更新演變而來。曾是2016年金融行業里最活躍的銀行木馬之一,并一直持續到今年。
在先前的活動中,Ursnif主要針對日本、北美、歐洲和澳大利亞。現在,Ursnif的開發者已經增強了其逃避安全檢測的能力,并將目標集中在了日本。
針對日本的Ursnif變種將攻擊的具體對象設定為本地網絡郵件、云存儲、加密貨幣交易平臺和電子商務網站的用戶憑證。
Ursnif在2007年首次被專家發現,其源代碼在2014年被意外泄漏。隨著多年來網絡注入技術的不斷發展,Ursnif被陸續增加了一些新的功能,進而演變出諸多版本的新變種。
最新版本的Ursnif能夠進行多種惡意活動,包括:
基于腳本的瀏覽器操作;
網絡注入和瀏覽器中間人攻擊( MITB);
表單抓取;
屏幕截圖和會話視頻抓取;
隱藏的VNC 和SOCKS代理攻擊。
此次針對日本的Ursnif活動采用了與今年夏天活動一樣的傳播方式,就是利用附帶惡意附件的垃圾電子郵件群發放給指定目標,其中的附件假冒來自日本金融服務和支付卡供應商。專家們還觀察到,新的Ursnif變種提供了一個HTML鏈接,指向一個包含JavaScript腳本的.zip文件。該腳本會啟動另一個能夠從遠程服務器獲取Ursnif有效載荷的PowerShell,并且只有在受害者關閉惡意文件之后才會啟動這個PowerShell。這是一種逃避宏檢測的技術,它有助于Ursnif逃避沙箱檢測。
另外,專家強調,自2015年以來日本金融行業的安全狀況就越來越糟糕。在2015年9月,惡意軟件Shifu就將14個日本金融行業企業作為了攻擊目標。
Shifu在日本的活動于2017年消失,但它打開了其他網絡犯罪的閘門,如URLZone、Rovnix以及此次發現的加強版的Ursnif
京公網安備 11010502049343號