Банковский троян Ursnif развивается и снова атакует пользователей

Эксперты компании Avast выявили эволюционировавший банковский троян Ursnif, который продолжает атаковать пользователей по всему миру. Уже несколько лет он распространяется через фишинговые письма, написанные на разных языках.

В отличие от других троянов, Ursnif устанавливается на устройство жертвы после скачивания ею бэкдора, позволяя неавторизованным пользователям обойти защитные механизмы и получить высокий уровень доступа к компьютерной системе, сети или программам. Ursnif представляет собой бесфайловый вредонос. Поскольку Ursnif устанавливается после бэкдора и для активации должен получить информацию через C&C-сервер, он может часами оставаться незамеченным, пока не начнет вредоносную деятельность.

Ursnif может не только украсть банковские данные, но и получить доступ к некоторым электронным письмам и браузерам, а также добраться до криптовалютного кошелька.

Как отмечают исследователи, механизмы Ursnif для скрытного обхода инструментов безопасности сделаны довольно изобретательно и представляют особую угрозу устройствам, которые не имеют усиленных уровней безопасности, например, детектирования подозрительного поведения. Поэтому важно помнить, что открывать письма с вложением от неизвестных отправителей и нажимать на ссылки - опасно. Если пользователь уже совершил ошибку и открыл письмо, поможет только отключение макроса в документе.

В процессе анализа специалисты Avast обнаружили банковские реквизиты, платежную информацию, логины, пароли и данные кредитных карт, которые, как выяснилось, были украдены операторами Ursnif. Главной целью на этот раз стали итальянские банки: злоумышленники атаковали свыше 100 финансовых учреждений. Команда исследователей сообщила об атаках банкам и платежным сервисам, которых удалось идентифицировать, а также государственным службам, обрабатывающим финансовую информацию.