Банковский троян Ursnif переходит на вымогательство и кражу данных

Банковский троян Ursnif переходит на вымогательство и кражу данных

Вредоносная программа Ursnif, известная в первую очередь как банковский троян, теперь переориентировалась на вымогательство и кражу данных. Новые образцы вредоноса похожи больше на Emotet, Qakbot и TrickBot.

Последнюю актуальную версию Ursnif проанализировали специалисты компании Mandiant. В своём отчёте эксперты пишут следующее:

«Можно наблюдать существенные изменения в поведении и назначении трояна, который раньше специализировался исключительно на банковском мошенничестве. Теперь же вредоносную программу можно отнести к более масштабным киберугрозам».

Впервые обновлённый вариант Ursnif попался исследователям 23 июня 2022 года, тогда ему даже присвоили кодовое имя — LDR4. Судя по всему, новая задача трояна — обеспечить нужную почву для атаки вымогателя или операции по краже конфиденциальных данных.

Ursnif, который также известен под именами Gozi и ISFB, можно называть старичком — первые зафиксированные атаки его операторов датируются 2007 годом. Путь и развитие вредоноса интересно наблюдать на инфографике, которую представили эксперты:

 

Последние по времени кампании Ursnif, описанные Mandiant, интересны письмами-приманками, которые злоумышленники пытаются замаскировать под счета или предложения работы. Если получатель клюнет на эту уловку, на его компьютер загрузится документ в формате Microsoft Excel, который и запустит вредонос.

Новый модуль Ursnif, позволяющий получить удалённый доступ к атакованному устройству, может говорить о том, что в будущем Ursnif перейдёт на кибервымогательство, считают исследователи.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В BIND 9 устранили опасные, удаленно эксплуатируемые DoS-уявимости

Консорциум разработчиков программного обеспечения для интернет-систем (Internet Systems Consortium, ISC) выпустил обновления с патчами для DNS-серверов BIND 9. Совокупно закрыто четыре уязвимости, позволяющие удаленно вызвать состояние отказа в обслуживании (DoS).

Новые проблемы, выявленные в софте с открытым исходным кодом, привязаны к сервису named, который может работать как авторитетный (первичный) сервер имен для группы зон или как рекурсивный резолвер для клиентов в локальной сети. Во всех случаях степень опасности угрозы оценена в 7,5 балла по шкале CVSS.

Список устраненных уязвимостей:

  • CVE-2022-3094 — солидный поток сообщений UPDATE способен истощить память на сервере и вызвать крах демона;
  • CVE-2022-3736 — аварийное завершение процесса named при обработке запросов RRSIG, если включена опция stale-answer-client-timeout;
  • CVE-2022-3924 — крах демона при превышении лимита на число клиентов в очереди, если используются опции stale-answer-enable yes и stale-answer-client-timeout;
  • CVE-2022-3488 — аварийное завершение named при обработке двойных ответов DNS-сервера, если оба отосланы с использованием опции CLIENT-SUBNET и первый ответ некорректен (актуальна только для BIND Supported Preview Edition).

Первые три уязвимости содержатся в BIND сборок с 9.16.0 по 9.16.36, с 9.18.0 по 9.18.10, с 9.19.0 по 9.19.8 и с 9.16.8-S1 по 9.16.36-S1. Патчи включены в состав обновлений 9.16.37, 9.18.11, 9.19.9 и 9.16.37-S1.

Данных об использовании какой-либо новой дыры в реальных атаках пока нет, но обновления рекомендуется установить в кратчайшие сроки.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru