logo

Trojan Ursnif kradnie osobiste dane użytkownika, wskazuje Proofpoint w swoim raporcie

Badacze z Proofpoint odkryli najnowsze szkodliwe oprogramowanie bankowe Ursnif wykorzystywane przez grupę hakerską o nazwie TA544, która atakuje firmy we Włoszech. Eksperci ds. cyberbezpieczeństwa znaleźli 20 dużych kampanii dostarczających szkodliwe wiadomości skierowane na włoskie organizacje.

Grupa TA544 działa głównie z pobudek finansowych od 2017 r. Atakuje użytkowników bankowości elektronicznej, dostarczając trojany bankowe i różne fałszywe kampanie płatności, aby kompromitować firmy na całym świecie, głównie we Włoszech i Japonii. Eksperci zauważyli, że w okresie od stycznia do sierpnia 2021 r. łączna liczba zidentyfikowanych kampanii Ursnif dotykających włoskie firmy była prawie równa liczbie ataków kampanii Ursnif we Włoszech w całym 2020 r.

„Dzisiejsze zagrożenia – takie jak kampanie TA544 przeciwko włoskim organizacjom – są skierowane na ludzi, a nie na infrastrukturę. Dlatego należy przyjąć podejście skoncentrowane na ludziach do cyberbezpieczeństwa. Obejmuje to wgląd w podatnościna poziomie użytkownika, ataki i przywileje oraz dostosowane kontrole, które uwzględniają ryzyko indywidualnego użytkownika ”, sugeruje Proofpoint.

Grupa TA544 wykorzystuje socjotechniki i phishing, aby zachęcić ofiary do kliknięcia w makra w dokumentach. Po włączeniu makra rozpoczyna się proces złośliwego oprogramowania. Jeśli przyjrzymy się ostatnim atakom na włoskie firmy, cyberprzestępca podszywał się pod firmę energetyczną lub włoskiego kuriera, oszukując ofiary za pomocą wyboru metody płatności płatności.

Spamy te wykorzystują uzbrojone dokumenty biurowe do wdrażania szkodliwego oprogramowania bankowego Ursnif na ostatnim etapie. Badając te kampanie, TA544 wykorzystał metody geofencing, aby sprawdzić, czy jesteśmy celem na obszarach geograficznych, zanim zaatakuje je złośliwym oprogramowaniem. Jeśli użytkownik nie znajdował się w obszarze docelowym, złośliwe oprogramowanie C2C przekierowało go na stronę dla dorosłych. W 2021 r. eksperci znaleźli około pięciu tysięcy wiadomości związanych z kampaniami szkodliwego oprogramowania. Aktor zagrożeń wykorzystywał wstrzykiwacze plików do wdrażania złośliwych kodów służących do kradzieży osobistych danych użytkownika, takich jak dane logowania i dane bankowe.

Badanie wstrzyknięć internetowych wykorzystywanych przez grupy hakerów pokazuje, że hakerzy próbowali również ukraść dane uwierzytelniające witryn powiązane z głównymi sprzedawcami.

Proofpoint donosi, że „ostatnie kampanie TA544 Ursnif obejmowały działania ukierunkowane na wiele witryn z wstrzyknięciami i przekierowaniami sieciowymi po zainstalowaniu ładunku Ursnif na komputerze docelowym. Lista zawierała dziesiątki docelowych witryn”.

Powrót do artykułów