نسخه جدید تروجان Ursnif از طریق اسناد آلوده شده Word در حال گسترش است
تروجان بانکی که برای سرقت رمزهای عبور و اعتبارها طراحی شده است.
نوع جدید تروجان یورسنیف (ursnif)، سیستمهای آسیبپذیر را هدف قرار داده است و در تلاش برای سرقت رمزهای بانکی و سایر مدارک معتبر است. به گفته محققان Fortinet، این بدافزار از طریق اسناد آلوده مایکروسافت ورد (Microsoft Word) در حال گسترش است و این قابلیت را دارد که از فیلترهای امنیتی پیشرفته عبور کند.
این تروجان حدود ده سال است که شکل گرفته و در این مدت شهرت بیشتری نیز پیدا کرده است. محققان Fortinet در یک وبلاگ یادآور میشوند که آخرین نسخه در حدود 26 ژانویه گردآوری شده است و از طریق ایمیلهای فیشینگ حاوی اسناد مخرب ورد در حال استفاده است. محققان میگویند پروندههای آلوده با فرمت ” info_ [date] .doc ” شناسایی شده و به طور فعال در طول ماه گذشته پخش شدهاند.
یکی از محققان این شرکت نیز در یادداشتی بیان کرده است که طبق آنالیزها و تجزیه و تحلیلهای وی، میزان فعالیت این تروجان در شبکه جهانی در حال گسترش است.
اگر چه تعداد سیستمهای آلوده به نوع جدید یورسنیف هنوز مشخص نیست، اما محققان Fortinet میگویند که تاکنون چندین نمونه از اسناد ورد آلوده از سراسر جهان را جمع آوری کردهاند و اکنون در حال هشدار به سازمانهایی هستند که ممکن است در معرض خطر این تروجان جدید باشند.
نسخه بروز شده تروجان Ursnif، برای فعال کردن پیلود مخرب خود، یک پیام کاذب ارسال کرده و درخواست میکند که کاربر محتوا را باز کند، با این ادعا که پرونده مخرب فقط در نسخه قبلی ورد کار میکند و برای فعال کردن آن باید حالت ماکرو را فعال کند.
پس از اینکه حالت ماکرو فعال شد، بدافزار یک کد مخرب ویژوال بیسیک برای برنامهها را راه اندازی میکند، و سپس بخش اصلی را در رایانه قربانی دانلود و نصب میکند. به دنبال نصب آن، این بدافزار چندین فایل “iexplore.exe” تولید میکند که برای لحظهای ظاهر شده و سپس از بین میروند. محققان میگویند از طریق این فرآیند، بدافزار دادههای جمع آوری شده از سیستم آلوده را به سرور مهاجم ارسال میکند.
برای جلوگیری از شناسایی، سرور بدافزار شامل لیست مرجعی از شرکتهای امنیتی مانند مایکروسافت و آواست است، و از این طریق در واقع آنالیزگرهای ترافیکی را فریب میدهد.
در طول 10 سال گذشته انواع مختلفی از این تروجان، حملات گستردهای به بانکها و موسسات مالی دیگری کردهاند و سورس کد مربوط به آن نیز در سال 2015 به صورت آنلاین منتشر شد و به مهاجمان این امکان را داد تا نسخه های سفارشیتر و سختتر برای شناسایی آن را توسعه دهند.
یورسنیف، که همچنین به نامهای Dreambot و Gozi ISFB نیز شناخته میشود، به منظور سرقت رمزهای عبور و اسناد معتبر از قربانیان – با تمرکز ویژه روی بخشهای بانکی و مالی – طراحی شده و ثابت کرده است که در این کار عملکرد خوبی دارد.
به عنوان مثال، در ماه مارس امسال، محققان امنیتی Cybereason نوعی از بدافزار یورسنیف را کشف کردند که مشتریان بانک ژاپنی را هدف قرار داد. مهاجمان با یک برگه آلوده اکسل، اقدام به ارسال یک برنامه فیشینگ کردند و از طریق ویژگی ویرایش، برای فعال سازی بدافزار سوءاستفاده کردند. پس از نصب موفقیت آمیز، تروجان قادر بود به پیکربندیهای ایمیل و سایر اعتبار کاربران را سرقت کند.