.
Uma das formas mais antigas e bem-sucedidas de malware bancário foi reaproveitado em um trojan de backdoor que foi descrito como “significativamente perigoso” e provavelmente usado para ataques de ransomware.
A nova variante do malware Ursnif – também conhecido como Gozi – foi detalhada por pesquisadores da empresa de segurança Mandiant, que sugerem que foi construído propositadamente para alimentar ataques de ransomware e roubo de dados.
Projetado para roubar dados bancários, a primeira encarnação de malware apareceu em 2006 e causou dezenas de milhões de dólares em perdas, com o FBI descrevendo-o como “um dos vírus de computador mais destrutivos financeiramente da história”. Desde então, o código-fonte original vazou, o que gerou várias novas variantes que ainda atormentam as vítimas até hoje.
Também: O futuro assustador da internet: como a tecnologia de amanhã representará ameaças ainda maiores à segurança cibernética
Essas versões do Ursnif mantiveram o objetivo do malware original – roubar dados bancários. Mas, de acordo com a análise da Mandiant, isso mudou com uma nova variante – apelidada de LDR4 – que reaproveitou o Ursnif em malware no estilo Trickbot e Emotet.
Os invasores que usam o malware podem roubar dados ou usar o backdoor para instalar ransomware, algo que pode causar danos muito maiores e mais graves do que roubar dados bancários e fornecer aos invasores um pagamento muito maior.
“O LDR4 pode ser uma variante significativamente perigosa – capaz de distribuir ransomware – que deve ser observada de perto”, alertou Mandiant em um post no blog.
A nova variante foi vista pela primeira vez em junho deste ano e é distribuída usando o mesmo método das campanhas Ursnif anteriores e muitos outros ataques de malware, por meio de e-mails de phishing.
Alguns desses e-mails de phishing afirmam ser de um recrutador com uma oferta de uma nova oportunidade. As mensagens alegam que, por causa do Regulamento Geral de Proteção de Dados, eles não podem divulgar informações no e-mail, então a vítima é instada a baixar um documento para saber mais. Outros são distribuídos em mensagens, que alegam conter uma fatura que deve ser analisada com urgência.
Não importa qual seja a aparência da isca, se um usuário seguir as instruções no e-mail de phishing, isso resultará no download da carga útil Ursnif, que fornece aos invasores acesso remoto à máquina.
“Esta é uma mudança significativa em relação ao propósito original do malware de permitir fraude bancária, mas é consistente com o cenário de ameaças mais amplo”, disseram os pesquisadores da Mandiant.
Embora seja um malware potencialmente perigoso, ser vítima desta versão mais recente do Ursnif está longe de ser inevitável. À medida que chega por meio de e-mails de phishing, as organizações devem fazer o possível para garantir que as proteções estejam em vigor para identificar e bloquear spam malicioso.
Eles também devem conscientizar os usuários sobre os riscos de e-mails de phishing e mantê-los atualizados com os tipos de assuntos usados para atrair as vítimas.
MAIS SOBRE CIBERSEGURANÇA
.
