Преступники, стоящие за вездесущим банковским троянцем Ursnif, выбрали Японию в качестве одной из основных мишеней и с прошлого месяца распространяют свою вредоносную программу посредством кампаний по рассылке спама.

Уже не один год троянец Ursnif, он же Rovnix, Papras и Gozi, атакует Японию, а также Северную Америку, Европу и Австралию. Однако согласно недавнему исследованию этого Windows-зловреда специалистами IBM X-Force, преступники усилили кампании по распространению Ursnif в Японии, снабдив его новыми целями и методами маскировки.

«В 2016 году банковский троянец Ursnif стал самой активной вредоносной программой в финансовом секторе, и на протяжении 2017 года он сохраняет это положение, вплоть до настоящего времени, — утверждает опубликованный в четверг отчет X-Force. — Однако одной из самых популярных целей в 2017 году являются японские банки, на которые операторы Ursnif стали очень активно нападать в конце III квартала, начиная с сентября».

Недавние случаи показывают, что преступные группы уже не просто направляют свои атаки на банки и банковские учетные данные.

«В дополнение к банкам вариант Ursnif, активный в Японии, нацелен также на учетные данные пользователей локальной веб-почты, облачных хранилищ, платформ обмена криптовалюты и сайтов интернет-магазинов», — пишет автор отчета Лимор Кессем (Limor Kessem), консультант по безопасности в компании IBM.

Ursnif — это широко распространенная угроза, которую впервые обнаружили в 2007 году. Первоначально этот зловред был нацелен на интернет-системы банковских переводов в англоговорящих странах. В 2010 году, когда произошла случайная утечка исходного кода троянца, ситуация изменилась. Появился Ursnif версии 2, использовавший веб-инжекты и включавший функцию скрытого удаленного администрирования.

К концу 2010 года оригинальный Ursnif атаковал внушительный список банков в Европе, Великобритании и Соединенных Штатах Америки. По данным X-Force, теперь, в 2017 году, в дополнение к целям в Северной Америке, Австралии и Японии Ursnif угрожает также банкам в Болгарии, Польше, Испании и Чехии.

Новейшая версия Ursnif осуществляет целый ряд вредоносных действий, включая манипуляции браузерами на основе сценариев, веб-инъекции, функции «человек в браузере», перехват данных, вводимых в веб-формы, создание снимков экрана, перехват видеосеансов, скрытые функции VNC и атаки с использованием прокси-серверов SOCKS.

В недавних кампаниях в Японии Ursnif раздавался через вредоносный спам. Это были электронные письма с поддельными вложениями, замаскированные под сообщения от финансовых служб и поставщиков услуг платежных карт в Японии. Еще один тип вредоносного спама включает HTML-ссылку, переход по которой инициирует скачивание ZIP-файла со сценарием JavaScript. Этот сценарий запускает скрипт PowerShell, доставляющий полезную нагрузку — Ursnif.

Также совершенствуются механизмы защиты зловреда от обнаружения. Согласно описанию Кессем, последний вариант, изученный специалистами X-Force, включает «методику маскировки на макроуровне, которая запускает PowerShell только после того, как пользователь закроет вредоносный файл». «Этот метод помогает вредоносному коду избежать обнаружения в песочнице», — пишет эксперт.

Другие способы маскировки Ursnif включают использование сети Tor для скрытой коммуникации с командными центрами. В июле аналитики Forcepoint обнаружили еще один способ защиты от исполнения в песочнице, который использует Ursnif: троянец помечал «красными флажками» движения мыши, указывающие на работу в исследовательской среде. При обнаружении песочницы заминированные вложения не делали попыток доставить полезную нагрузку.

Почему атака направлена на Японию? «История организованной киберпреступности в Японии пока не очень длинная», — поясняет Кессем. «В большинстве случаев миграции вредоносного ПО группы киберпреступников, располагающие необходимыми ресурсами, ищут более легкие деньги и менее защищенные структуры, а также стремятся застать врасплох пользователей, которые еще мало знают об использовании спама и социотехнических методов в атаках на банковские системы».

Категории: Аналитика, Вредоносные программы, Спам