• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:322

從6月6日開始，惡名昭彰的銀行木馬Ursnif其新變種攻擊義大利幾間公司。這種惡意軟體在資安界眾所周知，Ursnif銀行木馬病毒是2016年金融領域最活躍的惡意代碼，這樣的趨勢一直持續到2017年。

在之前的攻擊活動中，Ursnif銀行木馬專門針對日本、北美、歐洲和澳大利亞的用戶，後來作者改進了他們的規避技術，以針對世界各地的用戶，特別是在日本。

該惡意軟體能夠竊取用戶的憑證，如本地webmail、雲存儲、加密貨幣兌換平台和電子商務網站的憑證。

CSE Cybsec ZLab研究人員對最新版本的惡意軟體進行分析，在發現可疑檔案後開始調查，該檔案用於針對其客戶的針對性攻擊。

該攻擊活動中使用的是針對義大利公司的一個武器化的微軟Word檔案附件，並使用社交工程技術誘騙用戶啟用巨集來查看內容。

此外，一旦Ursnif感染過一台新機器，將試圖傳播給受害電子郵件帳戶的地址簿中的任何其他用戶，且為了誘騙其他受害者打開惡意郵件，電郵訊息會以回覆受害者過去來往信件的方式呈現。

在調查涉及義大利公司最近一次釣魚活動的域名時，研究人員發現，其中許多域名是透過相同的電子郵件地址註冊的：「whois-protect [@] hotmail [.] com」。

這個電子郵件地址直接連接到臭名遠播的Necurs殭屍網路，這是過去幾個月用來推送許多其他惡意軟體的惡意體系結構，包括Locky、Jaff、GlobeImposter、Dridex、Scarab和Trickbot。

ZLAb研究人員發布的報告中提供了針對義大利公司的Ursnif惡意軟體變體的更多細節，包括IoC和Yara規則。

完整的ZLAB惡意軟體分析報告可透過以下URL下載：http://csecybsec.com/download/zlab/20180621_CSE_Ursnif-Necurs_report.pdf

攻擊手法：Social Engineering

參考連結：

https://securityaffairs.co/wordpress/73865/malware/ursnif-banking-hits-italy.html
http://csecybsec.com/download/zlab/20180621_CSE_Ursnif-Necurs_report.pdf