نسخه جدید تروجان Ursnif از طریق اسناد آلوده شده Word در حال گسترش است

نوع جدید تروجان یورسنیف (ursnif)، سیستم‌‌های آسیب‌پذیر را هدف قرار داده است و در تلاش برای سرقت رمز‌های بانکی و سایر مدارک معتبر است. به گفته محققان Fortinet، این بدافزار از طریق اسناد آلوده مایکروسافت ورد (Microsoft Word) در حال گسترش است و این قابلیت را دارد که از فیلترهای امنیتی پیشرفته عبور کند.

این تروجان حدود ده سال است که شکل گرفته و در این مدت شهرت بیشتری نیز پیدا کرده است. محققان Fortinet در یک وبلاگ یادآور می‌شوند که آخرین نسخه در حدود 26 ژانویه گردآوری شده است و از طریق ایمیل‌های فیشینگ حاوی اسناد مخرب ورد در حال استفاده است. محققان می‌گویند پرونده‌های آلوده با فرمت ” info_ [date] .doc ” شناسایی شده‌ و به طور فعال در طول ماه گذشته پخش شده‌اند.

یکی از محققان این شرکت نیز در یادداشتی بیان کرده است که طبق آنالیز‌ها و تجزیه و تحلیل‌های وی، میزان فعالیت این تروجان در شبکه جهانی در حال گسترش است.

اگر چه تعداد سیستم‌های آلوده به نوع جدید یورسنیف هنوز مشخص نیست، اما محققان Fortinet می‌گویند که تاکنون چندین نمونه از اسناد ورد آلوده از سراسر جهان را جمع آوری کرده‌اند و اکنون در حال هشدار به سازمان‌هایی هستند که ممکن است در معرض خطر این تروجان جدید باشند.

نسخه بروز شده تروجان Ursnif، برای فعال کردن پی‌لود مخرب خود، یک پیام کاذب ارسال کرده و درخواست می‌کند که کاربر محتوا را باز کند، با این ادعا که پرونده مخرب فقط در نسخه قبلی ورد کار می‌کند و برای فعال کردن آن‌ باید حالت ماکرو را فعال کند.

پس از اینکه حالت ماکرو فعال شد، بد‌افزار یک کد مخرب ویژوال بیسیک برای برنامه‌ها را راه اندازی می‌کند، و سپس بخش اصلی را در رایانه قربانی دانلود و نصب می‌کند. به دنبال نصب آن، این بدافزار چندین فایل “iexplore.exe” تولید می‌کند که برای لحظه‌ای ظاهر شده و سپس از بین می‌روند. محققان می‌گویند از طریق این فرآیند، بدافزار داده‌های جمع آوری شده از سیستم آلوده را به سرور مهاجم ارسال می‌کند.

برای جلوگیری از شناسایی، سرور بدافزار شامل لیست مرجعی از شرکت‌های امنیتی مانند مایکروسافت و آواست است، و از این طریق در واقع آنالیزگرهای ترافیکی را فریب می‌دهد.

در طول 10 سال گذشته انواع مختلفی از این تروجان، حملات گسترده‌ای به بانک‌ها و موسسات مالی دیگری کرده‌اند و سورس کد مربوط به آن نیز در سال 2015 به صورت آنلاین منتشر شد و به مهاجمان این امکان را داد تا نسخه های سفارشی‌تر و سخت‌تر برای شناسایی آن را توسعه دهند.

یورسنیف، که همچنین به نام‌های Dreambot و Gozi ISFB نیز شناخته می‌شود، به منظور سرقت رمزهای عبور و اسناد معتبر از قربانیان – با تمرکز ویژه روی بخش‌های بانکی و مالی – طراحی شده و ثابت کرده است که در این کار عملکرد خوبی دارد.

به عنوان مثال‌، در ماه مارس امسال، محققان امنیتی Cybereason نوعی از بدافزار یورسنیف را کشف کردند که مشتریان بانک ژاپنی را هدف قرار داد. مهاجمان با یک برگه آلوده اکسل، اقدام به ارسال یک برنامه فیشینگ کردند و از طریق ویژگی ویرایش، برای فعال سازی بدافزار سوءاستفاده کردند. پس از نصب موفقیت آمیز، تروجان قادر بود به پیکربندی‌های ایمیل و سایر اعتبار کاربران را سرقت کند.