شناسایی تروجان بانکی Ursnif

به گزارش کارگروه امنیت سایبربان؛ محققان شرکت‌ترند میکرو (Trend Micro) به‌تازگی کمپین مخربی را شناسایی کرده‌اند که با استفاده از تروجان بانکی ursnif فعالیت مخرب خود را که شامل روش‌های تخریب کلان است، پیاده‌سازی می‌نماید. در این میان مهاجمان برای پیش برد اهداف خود از ماکروها برای توزیع نرم‌افزارهای مخرب استفاده می‌کنند، این در حالی است که برای انتقال و انتشار این ابزار مخرب و فریب کاربران از اسناد و فایل‌های موردنیاز کاربران استفاده می‌کنند پس‌ازاین اقدام با استفاده از کدهای مخربی مانند PowerShall نرم‌افزارهای موردنظر را حذف یا اجرا می‌کند.
این در حالی است که مهاجمان برای پیش برد فعالیت‌های خود در تلاش برای بهبود عملکرد بدافزارهای نوشته‌شده هستند. به‌تازگی در بررسی‌های محققان نشان داده‌شده است که بدافزار مذکور با استفاده از ایمیل‌های مخرب و اجرای سند باکس‌ها کاربران را به دام انداخته و فعالیت مخرب خود را اجرا می‌کنند.
یکی از روش‌هایی که توسط مهاجمان استفاده می‌شود این است که مهاجم با استفاده از AutoClose پس از ورود به سامانه مورد هدف قادر به بستن فعالیت‌ها و اجرای کدهای PowerShall موردنظر خود کند.
از دیگر روش‌های موجود می‌توان به استفاده مهاجمان از نسخه آفیس نصب‌شده روی رایانه کاربر نام برد که با استفاده از این نسخه آلوده فعالیت خود را اجرا می‌کنند.
مهاجم با استفاده از این روش‌ها فقط قادر به ایجاد اختلال در نسخه Office 2007 خواهد شد و فعالیت مخرب خود را با استفاده از این نسخه مخرب پیش می‌برد.
در ادامه باید به این نکته توجه کرد که بسیاری از ماکروهای نوشته‌شده توسط مهاجمان براساس سند باکس‌ها فعالیت می‌کنند. در این میان تنها راه شناسایی و شناخت این ماکروها را می‌توان طول بلندنام آن‌ها را معیار شناسایی قرارداد.