新闻快讯
< >

加强版银行木马Ursnif来袭,主要针对日本进行攻击

据IBM X-Force的研究人员透露,从上个月开始,网络罪犯分子就开始通过垃圾邮件传播一个臭名昭着的银行木马——Ursnif。

Ursnif,也被称为a.k.a Gozi,是由Gozi银行木马经历了多年的更新演变而来。曾是2016年金融行业里最活跃的银行木马之一,并一直持续到今年。

加强版银行木马Ursnif来袭,主要针对日本进行攻击-E安全

在先前的活动中,Ursnif主要针对日本、北美、欧洲和澳大利亚。现在,Ursnif的开发者已经增强了其逃避安全检测的能力,并将目标集中在了日本。

针对日本的Ursnif变种将攻击的具体对象设定为本地网络邮件、云存储、加密货币交易平台和电子商务网站的用户凭证。

Ursnif在2007年首次被专家发现,其源代码在2014年被意外泄漏。随着多年来网络注入技术的不断发展,Ursnif被陆续增加了一些新的功能,进而演变出诸多版本的新变种。

最新版本的Ursnif能够进行多种恶意活动,包括:

  • 基于脚本的浏览器操作;

  • 网络注入和浏览器中间人攻击( MITB);

  • 表单抓取;

  • 屏幕截图和会话视频抓取;

  • 隐藏的VNC  和SOCKS代理攻击。

此次针对日本的Ursnif活动采用了与今年夏天活动一样的传播方式,就是利用附带恶意附件的垃圾电子邮件群发放给指定目标,其中的附件假冒来自日本金融服务和支付卡供应商。

加强版银行木马Ursnif来袭,主要针对日本进行攻击-E安全

专家们还观察到,新的Ursnif变种提供了一个HTML链接,指向一个包含JavaScript脚本的.zip文件。该脚本会启动另一个能够从远程服务器获取Ursnif有效载荷的PowerShell,并且只有在受害者关闭恶意文件之后才会启动这个PowerShell。这是一种逃避宏检测的技术,它有助于Ursnif逃避沙箱检测。

另外,专家强调,自2015年以来日本金融行业的安全状况就越来越糟糕。在2015年9月,恶意软件Shifu就将14个日本金融行业企业作为了攻击目标。

Shifu在日本的活动于2017年消失,但它打开了其他网络犯罪的闸门,如URLZone、Rovnix以及此次发现的加强版的Ursnif。