Ursnif — банковский троян, появившийся в 2007 году. С тех пор он постоянно эволюционировал и со временем превратился в серьезную продвинутую угрозу.
Специалисты Лаборатории анализа угроз Avast обнаружили, что эволюционировавший банковский троян Ursnif продолжает атаковать пользователей по всему миру. Уже несколько лет он распространяется через фишинговые письма, написанные на разных языках.
В отличие от других троянов, Ursnif устанавливается на устройство жертвы после скачивания ею «лазейки» — бэкдора, позволяя неавторизованным пользователям обойти привычные защитные механизмы и получить высокий уровень доступа к компьютерной системе, сети или программам.
Ursnif представляет собой так называемое «бесфайловое вредоносное ПО» — это продвинутая программа, которая почти не оставляет следов в системе. Поскольку Ursnif устанавливается после бэкдора и для активации должен получить информацию через C&C-сервер, он может часами оставаться незамеченным, пока в итоге не начнет вредоносную деятельность.
Ursnif может не только украсть банковские данные, но и получить доступ к некоторым электронным письмам и браузерам, а также добраться до криптовалютного кошелька.
«Механизмы скрытного обхода инструментов безопасности были сделаны довольно изобретательно. Это может оказаться особенно эффективной тактикой против устройств, которые не имеют усиленных уровней безопасности, например, детектирования подозрительного поведения, – отмечает Михал Салат, директор департамента по исследованию угроз Avast. – Эти атаки еще раз доказывают, что человек – самое слабое звено в системе. Необходимо помнить о том, что открывать письма с вложением от неизвестных отправителей и нажимать на ссылки – опасно. Если пользователь уже совершил ошибку и открыл письмо, поможет только отключение макроса в документе».
В процессе анализа наши исследователи обнаружили банковские реквизиты, платежную информацию, логины, пароли и данные кредитных карт, которые, как выяснилось, были украдены операторами Ursnif. Главной целью Ursnif стали итальянские банки: злоумышленники атаковали более 100 банков; и более 1700 банковских данных похитил один сервис платежей. Полученная информация помогла нашим специалистам защитить жертв Ursnif и пользователей, которые могут столкнуться с ним в будущем.
Мы сообщили об атаках банкам и платежным сервисам, которых удалось идентифицировать, а также государственным службам, обрабатывающим финансовую информацию. Затронутые атаками компании предприняли все необходимые действия для защиты клиентов и ликвидации ущерба, нанесенного деятельностью Ursnif.
Avast верит в то, что подобное информирование поможет сделать интернет безопаснее. Это лишь один из примеров того, как исследования Лаборатории анализа угроз Avast могут помочь защитить не только клиентов компаний, но и других пользователей в сети.