Stany Zjednoczone pod względem liczby ataków oraz złośliwego oprogramowania niechlubnie zajmują pierwsze miejsce na podium. Inna sprawa jest taka, że dzisiaj nie liczy się ilość, ale jakość – na tej jakości też od pewnego czasu skupiają się cyberprzestępcy, którzy kolejny raz stworzyli trojana o nazwie Ursnif zdolnego do kradzieży haseł i innych poufnych informacji z zainfekowanych urządzeń. Największą ilość infekcji Ursnifem zaobserwowano właśnie w Stanach Zjednoczonych i Wielkiej Brytanii, odpowiednio 39.95% i 35,51%, znaczną ilość próbek zauważono także w Kanadzie (19%), lecz już zdecydowanie mniej w Turcji (1,92%).

Infekowane komputery należą głównie do sektora finansowego i edukacyjnego, malware rozprzestrzenia się w spamie oraz za pomocą innych trojanów downloaderów. Niektóre warianty Ursnifa infekują pliki PDF, MSI oraz EXE, by je odszukać skanują dyski stałe, wymienne lub sieciowe. 

Ursnif

Ursnif, w przeciwieństwie do innego złośliwego oprogramowania do oszukania użytkownika stosuje ciekawą sztuczkę: infekuje wspominane rozszerzenia PDF, EXE i MSI, ale w momencie uruchomienia ich już po infekcji, przenosi je do katalogu %User Temp%(losowa_nazwa.tmp.pdf, losowa_nazwa.tmp.exe), następnie po usunięciu oryginalnego pliku .pdf tworzy plik .exe używając nazwy pliku oryginalnego.

Inną techniką jaką stosuje ten trojan do maskowania się to odczekanie określonego czasu, w tym przypadku 30 minut, po których dopiero następuje proces infekowania. Cyberprzestępcy zastosowali tą technikę, by ominąć sandbox lub algorytmy behawioralne monitorujące pliki. Na ich nieszczęście metoda ta nie jest skuteczna, nowoczesne techniki antywirusów bez niepotrzebnego wykorzystania zasobów potrafią stale monitorować i śledzić działania podejrzanych lub niesprawdzonych plików, a w momencie zauważenia podejrzanego zachowania blokują je przenosząc do kwarantanny lub całkowicie usuwając z dysku.

Użytkownicy, by chronić się przed dobrze opracowanymi i trudnymi do wykrycia wirusami powinni zachować czujność, w tym przypadku ważne jest zwracanie uwagi na drobne szczegóły, jakimi będą rozprzestrzenianie się za pomocą dysków wymiennych i sieciowych. By temu zaradzić należy rozważyć „za i przeciw” podłączania swoich dysków do nieznanych i niesprawdzonych pod kątem złośliwego oprogramowania komputerów. Administratorzy napotykając wyrafinowane zagrożenie powinni prawidłowo skonfigurować dostęp do zasobów sieciowych, na przykład dostęp do plików powinien być tylko do odczytu. Trojan Ursnif, ale także inne trojany, bardzo często rozprzestrzeniają się w spamie, dlatego też użytkownicy potrzebują kompleksowego rozwiązania bezpieczeństwa, które nie ogranicza się tylko do wykrywania złośliwego oprogramowania. Funkcje takie jak firewall, ochrona przed spamem lub usługa reputacji plików / procesów może znacznie zwiększyć bezpieczeństwo komputera.

źródło: Arcabit