Эксперты IBM X-Force обнаружили, что банковский троянец Ursnif в дополнение к основному функционалу научился перенаправлять трафик жертв на фишинговые страницы. Вредоносные атаки с использованием новой итерации банкера, обозначенной вирусописателем как версия 3, пока ограничены территорией Австралии.

По данным X-Force, троянец Ursnif, он же Rovnix, Papras и Gozi ISFB, активно используется злоумышленниками как минимум с 2007 года, и за истекший период его код не раз подвергался изменениям. Модификация, которую эксперты определяют как Ursnif версии 2, существует уже два года и все еще актуальна как угроза: новейшая спам-кампания, нацеленная на ее засев, была недавно зафиксирована в Японии.

Использование Ursnif версии 3 в реальных атаках X-Force наблюдает с августа. Вначале это были, как пишут эксперты, тестовые операции, затем активность банкера несколько повысилась.

Проанализировав код обновленного зловреда, исследователи пришли к заключению, что на этот раз существенные изменения были привнесены, скорее всего, другим вирусописателем. Можно также предположить, что за Ursnif 3 стоит новая криминальная группа, действующая на территории Австралии.

Анализ показал, что новая итерация Ursnif способна использовать в атаках и веб-инжекты (внедрение дополнительных полей в веб-форму на лету), и перенаправление трафика на подставной сайт с сохранением связи с оригиналом, как это делают Dridex, TrickBot и IcedID.

Примечательно, что схема на основе редиректа не зашита в код троянца, а реализована через конфигурационный файл. Исследователи также отметили, что создатель Ursnif 3 не преминул обеспечить себе задел для дальнейших модификаций.

Просмотр списка мишеней обновленного банкера обнаружил, что его операторов интересуют, в основном, небольшие банки и кредитные союзы Австралии. По наблюдениям X-Force, в настоящее время распространение Ursnif 3 на территории этой страны носит ограниченный, даже целевой характер. По всей видимости, злоумышленники не хотят привлекать нежелательное внимание к новым операциям, которое неизбежно возрастет, как только заражения станут массовыми.

Категории: Аналитика, Вредоносные программы