این بدافزار قدیمی با ویژگی های جدید برای استفاده در حملات باج افزار بازسازی شده است
این نسخههای Ursnif به هدف بدافزار اصلی یعنی سرقت اطلاعات بانکی پایبند هستند. اما طبق تجزیه و تحلیل Mandiant، این با یک نوع جدید – با نام LDR4 – تغییر کرده است که Ursnif را به بدافزار به سبک Trickbot و Emotet تبدیل کرده است.
همچنین: آینده ترسناک اینترنت: چگونه فناوری فردا تهدیدات امنیتی سایبری بزرگتری را ایجاد خواهد کرد
اولین بدافزار که برای سرقت اطلاعات بانکی طراحی شده بود، در سال 2006 ظاهر شد و ده ها میلیون دلار خسارت به بار آورد. FBI آن را توصیف می کند به عنوان “یکی از مخرب ترین ویروس های کامپیوتری در تاریخ”. از آنجایی که کد منبع اصلی فاش شده است، که چندین نوع جدید را ایجاد کرده است که هنوز قربانیان را تا به امروز آزار می دهد.
مهم نیست که فریب چگونه به نظر می رسد، اگر کاربر از دستورالعمل های ایمیل فیشینگ پیروی کند، بارگیری Ursnif بارگیری می شود که دسترسی از راه دور به دستگاه را برای مهاجمان فراهم می کند.
آنها همچنین باید کاربران را از خطرات ایمیل های فیشینگ آگاه کنند و آنها را با انواع موضوعاتی که برای جذب قربانیان استفاده می شود، به روز نگه دارند.
مهاجمانی که از این بدافزار استفاده میکنند میتوانند دادهها را بدزدند یا از درب پشتی برای نصب باجافزار استفاده کنند، چیزی که میتواند صدمات بسیار گستردهتر و بسیار شدیدتری نسبت به سرقت اطلاعات بانکی ایجاد کند و روز پرداخت بسیار بیشتری را برای مهاجمان فراهم کند.
دستهایی که در تاریکی در برابر نور صورتی روی صفحه کلید تایپ میکنند.
تصویر: گتی
محققان Mandiant میگویند: «این یک تغییر قابل توجه از هدف اصلی بدافزار برای فعال کردن کلاهبرداری بانکی است، اما با چشمانداز وسیعتر تهدید سازگار است.
“LDR4 میتواند یک نوع بسیار خطرناک باشد – قادر به توزیع باجافزار – که باید به دقت تحت نظر قرار گیرد.” Mandiant در یک پست وبلاگ هشدار داد.
یکی از قدیمیترین و موفقترین اشکال بدافزار بانکی به یک تروجان درب پشتی تبدیل شده است که بهعنوان «بسیار خطرناک» توصیف شده و احتمالاً برای حملات باجافزار استفاده میشود.
نوع جدید بدافزار Ursnif – که به نام Gozi نیز شناخته میشود – توسط محققان شرکت امنیتی Mandiant به تفصیل توضیح داده شده است که نشان میدهد این بدافزار به طور هدفمند برای تقویت باجافزار و حملات سرقت داده ساخته شده است.
نوع جدید برای اولین بار در ژوئن سال جاری مشاهده شد و با استفاده از همان روش کمپین های قبلی Ursnif و بسیاری از حملات بدافزار دیگر، از طریق ایمیل های فیشینگ توزیع شده است.
برخی از این ایمیلهای فیشینگ ادعا میکنند که از طرف استخدامکنندهای با پیشنهاد فرصت جدید است. این پیام ها ادعا می کنند که به دلیل GDPR (مقررات عمومی حفاظت از داده ها)، آنها نمی توانند اطلاعات بیشتری را در ایمیل ارائه دهند، بنابراین از قربانی خواسته می شود برای کسب اطلاعات بیشتر سندی را دانلود کند. برخی دیگر در پیامهایی توزیع میشوند که ادعا میکنند فاکتوری دارند که باید فوراً بررسی شود.
در حالی که این یک بدافزار بالقوه خطرناک است، قربانی شدن در آخرین نسخه Ursnif اجتناب ناپذیر است. از آنجایی که از طریق ایمیلهای فیشینگ میرسد، سازمانها باید تمام تلاش خود را انجام دهند تا اطمینان حاصل کنند که حفاظتهایی برای شناسایی و مسدود کردن هرزنامههای مخرب وجود دارد.