Různé e-maily, ale stejný virus: všudypřítomný malware Ursnif opět útočí na online bankovní účty
Dvě nebezpečné phishingové e-mailové kampaně, které v současné době probíhají v Itálii, se snaží využít jména dvou známých společností k šíření velmi nebezpečného viru. Jedná se o společnosti Vodafone a Enel Energia, přičemž virem je bankovní trojský kůň Ursnif, který může vyprázdnit váš bankovní účet.
Falešné e-maily společnosti Vodafone objevil bezpečnostní výzkumník JamesWT, zatímco e-maily zneužívající jméno společnosti Enel objevila italská kyberbezpečnostní společnost D3Lab, která také spolupracuje s Certem, týmem pro reakci na počítačové hrozby Agentury pro digitální Itálii, která je součástí úřadu předsedy vlády. Obě kampaně jsou zaměřeny na šíření viru Ursnif, trojského koně, který je podle společnosti Trend Micro blízkým příbuzným virů Emotet, Gozi, BitPaymer, Dridex a GameOver Zeus. Zde se dozvíte, jak rozpoznat falešné e-maily, abyste se před útokem ochránili.
Falešný e-mail Vodafone s virem Ursnif: jak ho rozpoznat
Falešný e-mail Vodafone je nejsnáze rozpoznatelný, protože má velmi neuvěřitelného odesílatele: [email protected]. Problém je v tom, že mnoho uživatelů nečte odesílatele a tělo e-mailu považuje za skutečné.
Naneštěstí i text zprávy vykazuje klasické znaky, které by měly ty, kdo je obdrží, zneklidnit. Zejména gramatické chyby: "Jak jste požadovali, převedli jsme váš telefonní účet od předchozího operátora k Vodafonu aktivací nabídky Vodafone Ready. V příloze naleznete soubor s podrobnostmi a náklady na přechod na euro, které budou každý měsíc strženy přímo z vámi uvedeného bankovního účtu."
Přílohou je stejně neuvěřitelný soubor "IlUfY.zip". Pokud však nešťastný uživatel přílohu otevře, najde v ní soubor Excel s další zprávou: "Tento dokument je chráněn. Šifrováno pomocí DucuSign. Chcete-li dokument zobrazit, klikněte na možnost Povolit úpravy a poté na možnost Povolit obsah'.
Pod zprávou jsou loga společností Microsoft, McAfee, Symantec a RSA Security Analytics. Zkrátka celý balík zcela nepravdivých informací, které mají uživatele přimět ke kliknutí na tlačítka Enable Modify a Enable Content, což jsou v praxi příkazy Office 365, které aktivují spuštění skriptů obsažených v souboru. Skripty, které pak samozřejmě spustí infekci.
Falešný e-mail Enel Energia s virem Ursnif: jak ho rozpoznat
Druhý phishingový e-mail, který koluje v posledních hodinách, ten jménem Enel Energia, je naopak vybroušenější a rafinovanější. Odesílatelem je ve skutečnosti [email protected], který je stejně falešný, ale mnohem důvěryhodnější než ten předchozí. Předmět e-mailu je klasický: "Upomínka o zaplacení".
Tělo e-mailu je v dobré italštině, bez jakýchkoli chyb, a zmiňuje se o některých nezaplacených účtech po splatnosti. V praxi se jedná o upomínku k zaplacení účtů společnosti Enel Energia v celkové výši několika set eur.
Nechybí údaje a způsoby platby, obvyklá příloha a odkazy na webové stránky společnosti Enel. V tomto případě je tedy snazší padnout do pasti, protože neexistují žádné zjevné příznaky, že e-mail je falešný.
Ursif: proč je to velmi nebezpečný virus
Oba e-maily nesou malware Ursif. Jedná se o jeden z nejrozšířenějších bankovních trojských koní v Itálii (což bohužel znamená, že je také jedním z nejúčinnějších).
Při spuštění Ursnif nejprve zkontroluje přítomnost virtuálních nebo ladicích prostředí, aby zjistil, zda může pracovat, nebo ne. Pokud ano, zobrazí varovnou zprávu s textem "Client app initialization error!"
Poté napadne dva systémové procesy svchost.exe a explorer.exe a vloží do nich škodlivý kód. Poté se snaží ze systému ukrást co nejvíce informací a uložit je do souboru. Poté se připojí ke škodlivému příkazovému a řídicímu serveru (C&C), odkud stahuje další viry.
Po ovládnutí systému může Ursnif uživatele velmi efektivně špehovat a zajít tak daleko, že ukradne přihlašovací údaje ke všem online účtům. Tyto údaje jsou odesílány na vzdálený server, a pokud mezi nimi jsou i účty pro přístup k online účtům, čekají vás problémy: oběť brzy zjistí, že má na účtu velké částky.