Ursnif (он же Gozi, Dreambot, ISFB) - один из самых распространенных банковских троянов. Ursnif продемонстрировал невероятные возможности кражи. В 2020 году Ursnif стал одним из десяти самых распространенных вредоносных программ. Среди его основных функций - кража учетных данных, загрузка других вредоносных программ, работа в качестве кейлоггера и другие.
Ursnif Malware
Ursnif распространяется в основном через фишинговые письма. Его атаки часто направлены на банковские, финансовые и правительственные учреждения. В фишинговых письмах он пытается выдать себя за представителей государственных органов и использовать текущие события в новостях, чтобы завоевать доверие пользователя, что приводит к первоначальному доступу к системе жертвы. После того как пользователь открывает вредоносное вложение, троян использует пользовательские агенты, имитирующие Zoom и Webex, пытаясь слиться с системой и получить возможность эксплуатации. Такое поведение наблюдалось во время пика пандемии.
Indicators of Compromise
Domains
- cloudlines.top
- linkspremium.ru
- premiumlists.ru
- vilogerta.top
- interblog.top
- interforum.top
- premiumlines.top
- linespremium.ru
- linespremium.pw
- blogerslives.com
- blogerslines.com
- blogspoints.com
- blogspoints.ru
- filmspoints.com
SHA256
- d39aaa321588e8b1e8fe694732b533be31c57b60a3c1b7cf73047974606c0c64
- ef2cd6b4fd4fbeedc663f59c5196f63338b9f66242230d15f70cdaeba3bfde54
- dc21db5d469bd554e41c8aea35324e875475418ae23eb2378265636f0f781f85
- 42a1d2a7885898c85524a6b18550a9e01b86e5ad1c33af845b6ae1450ef69bfe
- d61ee5e7b17684983ea9049f719beb05978a813638f53f7625e970bae1c2abd7
- 32c049803e5e151d305c79a1067920a7eaa2dabb92fa7f33ef950097bba016f2
- ccb10c384d7a9c1d5c1c0383f97df96b299d641faecc7f3b4a5f31f2c0707c8a
- 739e193792aa810bcb005ddf4606366d472fe41ec50c304384eba212510cc239
- a204181541dc2772443bb00328d084edc872cf61289862220f93994fe4e9ed21
- 0f3aa6870b171bea342d0cf7166332f047ba58ccded701e0aaa2be84194203b9
- 91c4edd3f6c51affd87434a3db15b25408c26f7b77d94e568f91b9a5c4d63372
- 44e35db1c2bfeeee33f0a74874be2e0cc041a38e63e78da425052b0dfeb5f93d