曲速未來 警惕:新的網路釣魚活動將Ursnif放入對話執行緒中
區塊鏈安全諮詢公司 曲速未來 訊息:於今年9月發現的一項新的網路釣魚活動顯示,運營商越來越複雜,他們接管電子郵件帳戶並在對話執行緒中插入銀行木馬。
惡意軟體是對現有討論的回覆,這是一種強大的社會工程方法,可以保證很高的成功率,因為它依賴於受害者已經信任的熟悉環境。
安裝惡意軟體的誘惑是一個附加文件,一旦啟動,就會彈出一個例程來檢索最新版本的Ursnif惡意軟體。它僅在執行Windows Vista及更高版本的系統上執行,並避免使用具有俄語或中文語言環境的計算機。
雖然惡意回覆來自受害者已知的人,但有一些危險訊號應該讓他們看起來很可疑:語言突然從法語變為英語,資訊的通用性或資訊末尾的奇怪簽名。
對電子郵件的深入檢查表明,沒有欺騙“返回路徑”或“回覆”標題。相反,受害者會將回復發送到原始帳戶,表明威脅行為者可以登入它。
據安全研究人員分析後認為,針對惡意軟體的回覆來自美國,他們發現許多郵件是在9月份從同一主機的多個帳戶發出的。
在有的報告中寫道:“可以從標題中假設,攻擊者已經以某種方式獲得了真實帳戶並將此帳戶用於類似BEC的騙局。”
調查人員注意到,這些攻擊類似於思科Talos在之前的競選活動中發現的攻擊,該活動放棄了Ursnif銀行木馬,也稱為Gozi。
惡意軟體針對各個行業的組織
區塊鏈安全諮詢公司 曲速未來 表示:除了收集有關係統,可用軟體,執行的程序,安裝的驅動程式和網路裝置的詳細資訊外,Ursnif還會查詢電子郵件憑據,cookie和證書。但它的舊功能通過網路注入竊取財務資訊尚未被刪除。
對惡意軟體變體的分析表明,它使用Tor網路與命令和控制(C2)伺服器進行通訊,其主要目標是竊取資訊。
注意,最近的網路釣魚行動似乎集中在北美和歐洲的教育,金融和能源部門。
然而,它並不僅限於這些地區和垂直地區,因為它在亞洲和拉丁美洲已經出現,它們襲擊了房地產,運輸和製造業的受害者。