Malware Ursnif đánh cắp dữ liệu lây lan tại Mỹ và Anh

Các nhà nghiên cứu tại Trend Micro đã quan sát một loạt sự lây nhiễm của malware Ursnif. Các quốc giả bị ảnh hưởng nhiều nhất là Mỹ và Anh.

Ursnif là một mã độc được sử dụng bởi tội phạm mạng nhằm đánh cắp mật khẩu và những thông tin nhạy cảm khác thông qua việc lây lan trên các thiết bị. Tuy nhiên, biến thể mới của Ursnif là PE_URSNIF.A-O đang gia tăng đột biến có khả năng lây nhiễm giữa các tệp tin với nhau. Mĩ chiếm 39.5% và Anh chiếm 35.51% số lượng các lây nhiễm. Malware này cũng được phát hiện tại Canada (19%) và Thổ Nhĩ Kỳ (1.92%). Giáo dục, tài chính và sản xuất là những ngành bị ảnh hưởng nhiều nhất thông qua việc phát tán thư rác và phần mềm chứa Trojan.

Biến thể của Ursnif phân tích bởi Tren Micro lây nhiễm các tệp tin .PDF, .MSI, . EXE trên USB và ổ đĩa mạng. Không giống như các mã độc khác chèn mã độc vào tệp tin host,  PE_URSNIF.A-O tích hợp tệp tin này vào tài nguyên của nó. Khi những tệp tin bị nhiễm độc được nạn nhân sử dụng, mã độc sẽ nhả tệp tin gốc ra và mở một cách bình thường nhằm tránh việc bị nghi ngờ.

Một kĩ thuật chống bị phsat hiện được Ursnif sử dụng là tạm thời ngừng hoạt động trong 30 phút trước khi bắt đầu lây nhiễm. Điều này giúp nó tránh được sự theo dõi các tệp tin đáng ngờ (thường chỉ lên đến 5 phút). Các quản trị viên được khuyến cáo bảo vệ mạng trước loại malware này bằng cách chú ý đến cách thức thiết đặt chia sẻ mạng. Đảm bảo rằng các máy tính không có quyền truy cập đầy đủ trong mạng và thiết đặt chế độc truy cập chỉ đọc (read-only).

Các sản phẩm của Trend Micro phát hiện được  PE_URSNIF.A1 trong tệp tin . MSI và  PE_URSNIF.A2. trong tệp tin .PDF và .EXE.

Securityweek