區塊鏈安全諮詢公司 曲速未來 訊息：於今年9月發現的一項新的網路釣魚活動顯示，運營商越來越複雜，他們接管電子郵件帳戶並在對話執行緒中插入銀行木馬。

惡意軟體是對現有討論的回覆，這是一種強大的社會工程方法，可以保證很高的成功率，因為​​它依賴於受害者已經信任的熟悉環境。

​

安裝惡意軟體的誘惑是一個附加文件，一旦啟動，就會彈出一個例程來檢索最新版本的Ursnif惡意軟體。它僅在執行Windows Vista及更高版本的系統上執行，並避免使用具有俄語或中文語言環境的計算機。

​

雖然惡意回覆來自受害者已知的人，但有一些危險訊號應該讓他們看起來很可疑：語言突然從法語變為英語，資訊的通用性或資訊末尾的奇怪簽名。

​

​

對電子郵件的深入檢查表明，沒有欺騙“返回路徑”或“回覆”標題。相反，受害者會將回復發送到原始帳戶，表明威脅行為者可以登入它。

​

​

據安全研究人員分析後認為，針對惡意軟體的回覆來自美國，他們發現許多郵件是在9月份從同一主機的多個帳戶發出的。

​

在有的報告中寫道：“可以從標題中假設，攻擊者已經以某種方式獲得了真實帳戶並將此帳戶用於類似BEC的騙局。”

​

調查人員注意到，這些攻擊類似於思科Talos在之前的競選活動中發現的攻擊，該活動放棄了Ursnif銀行木馬，也稱為Gozi。

​

惡意軟體針對各個行業的組織

區塊鏈安全諮詢公司 曲速未來 表示：除了收集有關係統，可用軟體，執行的程序，安裝的驅動程式和網路裝置的詳細資訊外，Ursnif還會查詢電子郵件憑據，cookie和證書。但它的舊功能通過網路注入竊取財務資訊尚未被刪除。

對惡意軟體變體的分析表明，它使用Tor網路與命令和控制（C2）伺服器進行通訊，其主要目標是竊取資訊。

注意，最近的網路釣魚行動似乎集中在北美和歐洲的教育，金融和能源部門。

然而，它並不僅限於這些地區和垂直地區，因為它在亞洲和拉丁美洲已經出現，它們襲擊了房地產，運輸和製造業的受害者。