Trojan Perbankan Ursnif Kembali di Italia

  • Whatsapp
Trojan Perbankan Ursnif Kembali di Italia

 

Trojan perbankan ‘Ursnif’ (alias ‘Gozi’) kembali beroperasi di Italia, menargetkan sejumlah besar pengguna perbankan dengan malware seluler. Menurut analisis Tim Trusteer IBM, para pemangku kepentingan di belakang Ursnif sekarang memasukkan “Cerberus,” dalam operasi mereka, sebuah Trojan yang kodenya telah bocor pada September 2020 setelah upaya lelang yang gagal.
Ursnif adalah trojan perbankan dan terlihat di beberapa kit eksploitasi otomatis, menyebarkan lampiran dan tautan berbahaya. Ursnif terutama terkait dengan pencurian data, meskipun versi komponennya juga mengandung (pintu belakang, spyware, injektor file, dll.).
Cerberus adalah malware overlay seluler yang pertama kali dikembangkan pada pertengahan tahun 2019. Cerberus diduga digunakan untuk mendapatkan kode autentikasi dua faktor secara real-time selama serangan, selain itu juga berguna untuk mendapatkan kode layar dari kunci dan beroperasi dari jarak jauh. perangkat.
Pada bulan September 2020, tim pengembangan Cerberus setuju untuk membubarkan diri, mendorong upaya untuk menjual kode sumber kepada penawar tertinggi mulai dari $100.000.
Seperti yang dicatat IBM, Ursnif bisa dibilang sekarang merupakan malware perbankan tertua yang ada, dengan fokus utamanya adalah Italia. Biasanya akan dikirim melalui email dengan dokumen terlampir dengan makro berbahaya – ke berbagai alamat bisnis. Setelah itu injeksi Web mengambil alih dan memanggil target untuk mengunduh perangkat lunak yang dianggap aman – pada dasarnya aplikasi Trojan seluler. Ini dilakukan dengan menggunakan kode QR dengan string base64 yang dikodekan.
“Jika pengguna memindai kode QR, mereka akan membuka halaman web di ponsel cerdas mereka dan dikirim ke halaman Google Play palsu yang menampilkan logo aplikasi perbankan yang sesuai dari merek perbankan yang awalnya coba diakses oleh korban. Kampanye, dalam hal ini, menyertakan beberapa domain yang kemungkinan besar terdaftar untuk tujuan itu dan dilaporkan dalam aktivitas jahat lainnya di masa lalu, seperti hxxps://play.google.servlce.store/store/apps/details.php? id = itu.[BANK BRAND],” tulis Itzik Chimino, seorang peneliti di Security Intelligence.
Setiap domain yang menghosting halaman Google Play palsu menggunakan istilah atau kesalahan ketik yang identik untuk membuatnya tampak sah. Contohnya meliputi:
google.servlce.store
google.services
gooogle.services
play.google.servlce.store
play.gooogle.services
play.gooooogle.services
Selama beberapa bulan, domain berbahaya ini juga ada di VirusTotal, dan laporan tambahan telah terakumulasi dari waktu ke waktu.
Untuk pelanggan yang gagal memindai kode QR secara efektif, tautan unduhan akan disediakan yang meminta mereka untuk memberikan nomor telepon mereka dan kemudian menerima pesan SMS dengan tautan aplikasi berbahaya, yang memperingatkan konsumen tentang gangguan layanan jika aplikasi gagal. mengumpulkan mereka.
Server jarak jauh mengirimkan URL unduhan untuk memungkinkan pengguna mengunduh malware Cerberus secara tidak sengaja jika mereka memasukkan nomor telepon di injektor situs web. Injeksi ini juga menyimpan ID perangkat untuk korban yang terkait dengan ID bot dan kata sandi akun mereka.
URL ini membawa Cerberus di ponsel, sementara Ursnif di PC. Oleh karena itu para pemain benar-benar terinfeksi oleh campuran kedua instrumen, sementara Ursnif masih memiliki pekerjaan. Malware menghubungkan browser internet desktop di bagian depan ini dan menangani situs web yang digunakan secara dinamis untuk tujuan tersebut.
Salah satu tindakan utama Ursnif adalah secara otomatis mengubah IBAN penerima transaksi dengan IBAN yang dikelolanya. Secara khusus, aktor hanya menentukan parameter yang memungkinkan pertukaran ini jika jumlah akun melebihi €3.000.
Akhirnya, perlu dicatat bahwa suntikan sangat adaptif dan para pelaku membedakan metode mereka tergantung pada korban dan layanan bank yang dipalsukan. Para aktor telah mempertimbangkan segalanya, termasuk masalah keamanan, waktu log-in, dan bahkan pemberitahuan pemeliharaan palsu, untuk mencegah korban melihat portal layanan yang sebenarnya.
Selanjutnya, disarankan untuk tidak mengunduh aplikasi di luar Play Store dan juga tidak mengklik URL apa pun yang diterima melalui SMS. Jika seseorang menerima pesan yang mengklaim sumbernya sebagai beberapa bank, hindari bertindak sesuai dengan itu alih-alih kunjungi atau hubungi bank secara pribadi.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *