Najopasniji bankarski malware prepravljen za ransomware napade
Jedna od najstarijih formi uspešnih bankarskih malware programa, redizajnirana je u backdoor trojanca koji se sada vodi kao „izuzetno opasan“ i verovatno se upotrebljava za ransomware napade. U pitanju je nova varijanta Ursnif malware-a, koji je takođe poznat i pod imenom Gozi, a identifikovala ga je bezbednosna kompanija Mandiant. Oni su otkrili da se on sada upotrebljava za ransomware napade i za krađe podataka.
Ursnif je prvenstveno dizajniran da krade bankarske informacije, a prvi put se pojavio 2006. godine, od kada bio uzrok krađe više desetina miliona dolara. FBI ga je opisao kao jedan od finansijski najdestruktivnijih računarskih virusa u istoriji. Originalni izvorni kod ovog malware-a je (ne)namerno pušten u javnost, što je prouzrokovalo nekoliko različitih varijanti virusa koji haraju i danas.
Sve doskorašnje varijante Ursnif-a imale su isti cilj kao original – krađa bankarskih detalja. Međutim, prema istraživačima iz Mandiant-a, to se promenilo sa najnovijom varijantom, LDR4, koja je Ursnif pretvorila u nešto drugo. Napadači koji koriste ovu varijantu mogu da kradu podatke ili da koriste backdoor da instaliraju ransomware alate na napadnutom računaru. To potencijalno dovodi do mnogo veće štete od krađe finansijskih podataka, a napadačima obezbeđuje lakše ostvarivanje zarade putem ucene.
LDR4 varijanta prvi put je uočena u junu ove godine, a distribuira se na isti način kao i originalni Ursnif, i mnogi drugi malware alati – preko phishing email-ova. U konkretnom slučaju, često su upotrebljavani email-ovi koje šalju „recruiter-i“ nudeći primaocima „nove poslovne mogućnosti“. U porukama se navodi da zbog GDPR-a ne smeju da iznose sve informacije u email-ovima, pa se žrtve na taj način „navlače“ da otvore prateći dokument kako bi saznali detalje. Još jedna česta varijanta distribucije ovog malware-a je slanjem „fakture“ koja mora da se hitno pogleda.
Nakon što se žrtva „upeca“ i isprati instrukcije u phishing email-u, dolazi do preuzimanja Ursnif-a i njegove instalacije na žrtvin računar, čime se napadaču otvara pristup za udaljenu kontrolu. Zato se u saopštenju iz Mandiant-a navodi da je neophodno da organizacije edukuju svoje zaposlene kako da prepoznaju phishing email-ove i kako da reaguju ako (ili bolje reći kada) ih prime.
Izvor: ZDNet