Egér nélkül nem fertőz az adatlopó trójai

​Az Ursnif banki trójai egy továbbfejlesztett variáns formájában jelent meg, amely az elődjeinél is nehezebben buktatható le.
 

Az Ursnif trójai tavaly hívta fel magára a figyelmet, amikor olyan megoldásokat vonultatott fel, amelyekkel egyrészt nehezebbé tette a detektálását, illetve az elemzését, másrészt az anonimitást is fokozta. Az elsősorban banki adatok kifürkészésére tervezett károkozó akkori változata kizárólag Tor hálózatokon keresztül volt hajlandó kommunikálni a vezérlőszervereivel. Azonban a legnagyobb újdonságát nem ez jelentette, hanem azok a technikák, amik révén képessé vált a vírusvédelmi cégek által alkalmazott környezetek felismerésére.
 
Már korábban is számos olyan kártékony program jelent meg, amelyek különféle módszerek alkalmazásával képesek voltak elérni, hogy az antivírus laborokban lévő, víruselemzést szolgáló - általában virtualizált - rendszereken ne akadjanak fent. Kezdetben az egyik leggyakoribb trükkjük az volt, hogy pár percig nem hajtottak végre semmiféle ártalmas műveletet, aminek következtében a biztonsági rendszer úgy érzékelte, hogy semmi probléma nincs az adott programmal. Ezt a trükköt úgy cselezik ki a biztonsági kutatók, hogy ilyen esetekben előre állítják a virtuális gép rendszerdátumát.

A történet folytatódik

Az Ursnif tavalyi variánsa azonban tovább szaporította a védelmi megoldások megkerülésére szolgáló módszereket. Így figyelte, hogy azon a rendszeren, amelyre rákerült, hány dokumentum található az utoljára megnyitott állományok listáján. Monitorozta a grafikus interfész működését, valamint a folyamatok számát (ha 50 folyamatnál kevesebb futott, akkor azonnal leállt). Továbbá ellenőrizte az IP-címeket, és arra utaló jeleket keresett, hogy az áldozatává váló rendszer valamely biztonsági cég adatközpontjában található-e. Vagyis összességében a célrendszer helyét és annak használati módját elemezte.
 
A trójai nemrég felfedezett új variánsa azonban még ennél is tovább ment. A legújabb változata ugyanis már az egérrel elvégzett műveleteket is figyeli. A terjesztői abból az elgondolásból indultak ki, hogy az antivírus cégeknél futtatott virtuális rendszerek az automatizálás miatt nem igazán használják az egér adta lehetőségeket, vagyis a kurzort egérrel nem mozgatják. Így, ha az Ursnif azt észleli, hogy az egér nem mozdul, akkor gyanakodni kezd, hogy a lebuktatására készül valaki, ezért nem is fertőz.

Három lehetőség 

Ugyanakkor a felhasználókat mindenáron megpróbálja rávenni arra, hogy hozzájáruljanak a fertőzésekhez. A károkozó ezúttal is elektronikus levelek révén terjed. E küldemények három csatolt fájlt is tartalmaznak. Ezek mindegyikében megtalálható az a makró, amely az Ursnif kódjának letöltését elvégzi. Így ha a felhasználó bármelyik mellékletet megnyitja, és engedélyezi a makrók futtatását, akkor a számítógépét saját maga fertőzi meg.
 
Az Ursnif legújabb variánsának további érdekessége, hogy ezúttal nem banki adatokat lop, hanem a Thunderbird alkalmazásból gyűjti ki a neveket, e-mail címeket, és ezeket szivárogtatja ki. Nyilván abban az esetben, ha a fertőzött PC-n megtalálható a Thunderbird levelezőkliens.
 
Az Ursnif ellen naprakészen tartott víruskeresővel és megfontolt, biztonságtudatos számítógéphasználattal lehet védekezni.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség