Специалистите на компанията Forcepoint представиха анализ на новата вредоносна кампания за разпространение на банковия троянец Ursnif.
Експертите съобщиха, че малуерът се разпространява традиционно: чрез Office документи с макроси в тях. Но новата версия на Ursnif използва съвсем нови методи за откриване на виртуални машини, пясъчници и други подобни инструменти, използвани от антивирусните програми. Този троянец следи движението на курсора на мишката и ако засече, че той остава неподвижен твърде дълго време, малуерът счита, че се правят опити да бъде изучен.
Вирусната фамилия Ursnif за първи път бе забелязана през 2013 година и бе фокусирана върху кражбата на лични потребителски данни, включително пароли. През последните години специалистите многократно разкриваха различните адаптации на Ursnif, в които се използват нови техники и твърде необичайни начини за скриване и засичане на разкриването.
Така например, именно този малуер един от първите започна да използва Tor за връзка с управляващите сървъри. А това лято експертите разкриха редица техники за избягване на неговото засичане: проверка имената на файловете за наличието на специфични символи, проверка за използване на графичен интерфейс, проверка IP адреса на потребителя дали не е на някоя антивирусна компания или дата център, и други.
Новата версия на Ursnif следи за движението на мишката и присвоява контактите и паролите от клиента Mozilla Thunderbird.
