Nieuwe versie van trojan malware verspreidt zich via kwaadaardige Word documenten

Een nieuwe versie van Ursnif wordt gepusht via kwaadaardige Word documenten met als doel het stelen van bankinformatie en andere inloggegevens.

Een nieuwe variant van deze trojan malware populair bij cybercriminelen verspreidt zich via kwaadaardige Word documenten met als doel bankgegevens en andere gevoelige persoonlijke informatie te stelen.

De trojan van Ursnif richt zich op Windows-machines en bestaat in een of andere vorm sinds ten minste 2007 toen de code voor het eerst opkwam in de trojan voor bankieren van Gozi.

Ursnif is de afgelopen jaren ongelooflijk populair geworden bij cybercriminelen, omdat de broncode online is gelekt, waardoor aanvallers er gratis gebruik van kunnen maken.

Sinds het uitlekken van de code zijn er verschillende varianten van de malware ontstaan, omdat aanvallers deze gebruiken en hun eigen aangepaste mogelijkheden toevoegen voor het stelen van bankgegevens en andere online accountreferenties.

Nu hebben onderzoekers van cyber security bedrijf Fortinet een nieuwe versie van Ursnif in het wild geïdentificeerd die zich verspreidt via phishing e-mails met bewapende Word documenten. Deze geïnfecteerde lokmiddelen krijgen de naam “info_ [datum] .doc” en beweren dat het document is gemaakt in een eerdere versie van Word, waardoor de gebruiker macro’s moet kunnen zien.

Macro’s inschakelen door op de opdracht ‘Inhoud inschakelen’ te klikken, ontketent de kwaadaardige VBA code die begint met het verwijderen van een versie van Ursnif malware waarvan onderzoekers zeggen dat deze pas op 25 juli is gecompileerd, waarmee wordt aangegeven hoe recent deze nieuwste incarnatie is ontwikkeld.

Eenmaal geïnstalleerd op een systeem voert de malware een aantal “iexplorer.exe” -processen uit die herhaaldelijk verschijnen en verdwijnen.

Dit is Ursnif die de voorwaarden creëert die nodig zijn om verbinding te maken met de opdracht- en controleserver. In een poging om de activiteit minder verdacht te maken, bevat de hostlijst voor de C&C-server verwijzingen naar Microsoft en beveiligingsbedrijven.

Onderzoekers waarschuwen dat de campagne nog steeds actief is en hebben de Indicators of Compromise beschreven in hun analyse van de malware.

De aanvalstechnieken die door deze nieuwste Ursnif campagne worden geïmplementeerd, lijken misschien eenvoudig, maar zelfs eenvoudige phishing e-mailaanvallen kunnen hackers nog steeds de mogelijkheid bieden netwerken binnen te gaan of malware te implementeren.

Bron: zdnet.com

Geef een reactie