Phishing: cuidado com esta nova versão do malware de Trojan.
Malware de Trojan: cuidado com esta nova versão do malware de Trojan que se espalha por documentos maliciosos do Word.
Cuidado com esta nova versão do malware de Trojan Phishing
Uma nova versão do Trojan Ursnif está sendo enviada por meio de documentos maliciosos do Word com o objetivo de roubar informações bancárias e outras credenciais.
Uma nova variante do malware de Trojan, popular entre os ciber criminosos, está se espalhando por meio de documentos maliciosos do Word, com o objetivo de roubar dados bancários e outras informações pessoais úteis.
O Malware de Trojan Ursnif tem como alvo máquinas Windows e existe de uma forma ou de outra desde pelo menos 2007, quando seu código surgiu pela primeira vez no Trojan bancário Gozi.
Ursnif se tornou incrivelmente popular entre os cibercriminosos nos últimos anos, devido ao vazamento do código-fonte on-line, permitindo que os atacantes tirem proveito dele de graça.
Variantes do Malware de Trojan
Diferentes variantes do Malware de Trojan surgiram desde que o código vazou. Invasores o utilizam e adicionam seus próprios recursos personalizados para roubar detalhes bancários e outras credenciais de conta online.
Pesquisadores da empresa de segurança cibernética Fortinet, identificaram uma nova versão do Ursnif em estado selvagem. Ele está se espalhando por e-mails de phishing contendo documentos do Word com armas.
Essas iscas infectadas são nomeadas com o formato “info_ [date] .doc” e afirmam que o documento foi criado em uma versão anterior do Word, exigindo que o usuário habilite as macros para vê-lo.
A ativação de macros ao clicar no comando ‘Habilitar Conteúdo’, libera o código malicioso do VBA. Ele inicia o processo de descartar uma versão do malware Ursnif que, segundo os pesquisadores, foi compilada apenas recentemente em 25 de julho. Isso indica quão recentemente essa última encarnação foi desenvolvida.
Processos executados pelo Malware
Uma vez instalado em um sistema, o malware executará vários processos “iexplorer.exe” que aparecem e desaparecem repetidamente.
Este é o Ursnif, criando as condições necessárias para conectar-se ao seu servidor de comando e controle.
Atenção ao esforço para tornar a atividade menos suspeita, a lista de hosts do servidor C&C, inclui referências à Microsoft e empresas de segurança.
Os pesquisadores alertam que a campanha ainda está ativa e forneceram uma revisão dos Indicadores de Compromisso na análise do malware.
As técnicas de ataque implantadas nesta última campanha do Ursnif podem parecer básicas. Mesmo ataques simples de e-mail de phishing ainda podem fornecer aos hackers meios de entrar em redes ou implantar malware.
