Исследователи Avast предупреждают, что известный банковский троян Ursnif продолжает атаковать пользователей по всему миру. Уже несколько лет он распространяется через фишинговые письма, написанные на разных языках.

В отличие от других банкеров, Ursnif устанавливается на устройство жертвы лишь после скачивания  бэкдора, позволяя атакующим обойти привычные защитные механизмы и получить высокий уровень доступа к системе, сети или программам.

Ursnif представляет собой так называемое «бесфайловое вредоносное ПО», то есть почти не оставляет следов в системе. Поскольку Ursnif устанавливается после бэкдора и для активации он должен получить информацию через C&C-сервер, он может часами оставаться незамеченным, пока в итоге не начнет вредоносную активность.

Ursnif способен не только похищать банковские данные, но также может получить доступ к некоторым электронным письмам и браузерам жертвы, а также добраться до криптовалютного кошелька.

«Механизмы скрытного обхода инструментов безопасности были сделаны довольно изобретательно. Это может оказаться особенно эффективной тактикой против устройств, которые не имеют усиленных уровней безопасности, например, детектирования подозрительного поведения, – отмечает Михал Салат, директор департамента по исследованию угроз Avast. – Эти атаки еще раз доказывают, что человек – самое слабое звено в системе. Необходимо помнить о том, что открывать письма с вложением от неизвестных отправителей и нажимать на ссылки – опасно. Если пользователь уже совершил ошибку и открыл письмо, поможет только отключение макроса в документе».

В процессе анализа исследователи Avast обнаружили банковские реквизиты, платежную информацию, логины, пароли и данные кредитных карт, которые, как выяснилось, были украдены операторами Ursnif.

Исследователи сообщают, что в последнее время главной целью Ursnif были итальянские банки: злоумышленники атаковали пользователей более 100 банков и похитили более 1700 учетных данных только для одного оператора платежей.

Специалисты Avast уже уведомили об атаках банкам и платежные сервисы, которые удалось идентифицировать, а также сообщили о происходящем итальянский CERTFin и государственным службам, обрабатывающим финансовую информацию.

Оставить мнение