Różne e-maile, ale ten sam wirus: wszechobecne złośliwe oprogramowanie Ursnif znów atakuje internetowe konta bankowe
Dwie niebezpieczne kampanie phishingowe e-mail, trwające obecnie we Włoszech, próbują wykorzystać nazwy dwóch znanych firm do rozprzestrzeniania bardzo groźnego wirusa. Firmy, o których mowa to Vodafone i Enel Energia, a wirus to trojan bankowy Ursnif, który może opróżnić konto bankowe użytkownika.
Fałszywe e-maile Vodafone zostały odkryte przez badacza bezpieczeństwa JamesaWT, natomiast te wykorzystujące nazwę Enel zostały odkryte przez włoską firmę D3Lab, która współpracuje również z Cert, Zespołem Reagowania na Incydenty Komputerowe Agencji ds. Obie kampanie mają na celu rozprzestrzenianie wirusa Ursnif, trojana, który według Trend Micro jest bliskim krewnym Emotet, Gozi, BitPaymer, Dridex i GameOver Zeus. Oto jak rozpoznać fałszywe e-maile, aby uchronić się przed atakiem.
Fałszywy e-mail Vodafone z wirusem Ursnif: jak go rozpoznać
Fałszywy e-mail Vodafone jest najłatwiejszy do rozpoznania, ponieważ ma bardzo niewiarygodnego nadawcę: [email protected]. Problem polega na tym, że wielu użytkowników nie czyta nadawcy i bierze treść wiadomości za prawdziwą.
Niestety, w treści wiadomości pojawiają się również klasyczne znaki, które powinny zaalarmować tych, którzy je otrzymują. W szczególności występują błędy gramatyczne: "Zgodnie z Twoim życzeniem, zmieniliśmy Twoje konto telefoniczne z poprzedniego operatora na Vodafone poprzez aktywację oferty Vodafone Ready. W załączniku znajdą Państwo plik zawierający szczegóły i koszty przejścia na euro, które będą pobierane co miesiąc bezpośrednio z podanego przez Państwa konta bankowego".
W załączniku znajduje się równie niewiarygodny plik "IlUfY.zip". Jeśli jednak niefortunny użytkownik otworzy załącznik, znajdzie w nim plik Excela z inną wiadomością: "Ten dokument jest chroniony. Szyfrowane przez DucuSign. Aby wyświetlić dokument, należy kliknąć na Włącz edycję, a następnie na Włącz zawartość'.
Pod komunikatem znajdują się loga firm Microsoft, McAfee, Symantec i RSA Security Analytics. Krótko mówiąc, cały pakiet całkowicie fałszywych informacji, które mają skłonić użytkownika do kliknięcia w Enable Modify i Enable Content, które w praktyce są komendami Office 365 aktywującymi wykonanie skryptów zawartych w pliku.
Fałszywy e-mail Enel Energia z wirusem Ursnif: jak go rozpoznać
Drugi e-mail phishingowy, który krąży w ostatnich godzinach, ten na nazwisko Enel Energia, jest bardziej wyrafinowany. Nadawcą jest w rzeczywistości [email protected], który jest tak samo fałszywy, ale znacznie bardziej wiarygodny niż poprzedni. Temat maila jest klasyczny: "Przypomnienie o płatności".
Ciało maila jest w dobrym języku włoskim, bez żadnych błędów, i wspomina o kilku niezapłaconych, zaległych rachunkach. W praktyce jest to przypomnienie o konieczności opłacenia rachunków Enel Energia, opiewających łącznie na kilkaset euro.
Nie brakuje danych i sposobów płatności, zwykłego załącznika i linków do strony internetowej Enel. W tym przypadku łatwiej jest więc wpaść w pułapkę, ponieważ nie ma oczywistych oznak, że e-mail jest fałszywy.
Ursif: dlaczego jest bardzo niebezpiecznym wirusem
Oba e-maile przenoszą złośliwe oprogramowanie Ursif. Jest to jeden z najbardziej rozpowszechnionych trojanów bankowych we Włoszech (co niestety oznacza również, że jest jednym z najbardziej skutecznych).
W momencie wykonania, Ursnif najpierw sprawdza obecność jakichkolwiek środowisk wirtualnych lub debugowych, aby sprawdzić, czy może swobodnie działać, czy nie. Jeśli tak, to wyświetla komunikat ostrzegawczy z tekstem "Client app initialization error!"
Następnie atakuje dwa procesy systemowe svchost.exe i explorer.exe, wstrzykując do nich złośliwy kod. Następnie stara się wykraść z systemu jak najwięcej informacji i zapisuje je w pliku. Następnie łączy się ze złośliwym serwerem kontroli (C&C), z którego pobiera kolejne wirusy.
Po przejęciu kontroli nad systemem Ursnif potrafi niezwykle skutecznie szpiegować użytkownika, posuwając się nawet do wykradania danych logowania do wszystkich kont internetowych. Dane te są przesyłane do zdalnego serwera, a jeśli wśród tych kont znajdują się konta dostępu do kont internetowych, to szykują się kłopoty: ofiara wkrótce znajdzie się z dużym saldem konta.