Специалистите на компанията Forcepoint представиха анализ на новата вредоносна кампания за разпространение на банковия троянец Ursnif.

Експертите съобщиха, че малуерът се разпространява традиционно: чрез Office документи с макроси в тях. Но новата версия на Ursnif използва съвсем нови методи за откриване на виртуални машини, пясъчници и други подобни инструменти, използвани от антивирусните програми. Този троянец следи движението на курсора на мишката и ако засече, че той остава неподвижен твърде дълго време, малуерът счита, че се правят опити да бъде изучен.

Вирусната фамилия Ursnif за първи път бе забелязана през 2013 година и бе фокусирана върху кражбата на лични потребителски данни, включително пароли. През последните години специалистите многократно разкриваха различните адаптации на Ursnif, в които се използват нови техники и твърде необичайни начини за скриване и засичане на разкриването.

Така например, именно този малуер един от първите започна да използва Tor за връзка с управляващите сървъри. А това лято експертите разкриха редица техники за избягване на неговото засичане: проверка имената на файловете за наличието на специфични символи, проверка за използване на графичен интерфейс, проверка IP адреса на потребителя дали не е на някоя антивирусна компания или дата център, и други.

Новата версия на Ursnif следи за движението на мишката и присвоява контактите и паролите от клиента Mozilla Thunderbird.

0 0 гласа
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари