فيروس حصان طروادة الجديد Ursnif يستخدم الCAPTCHA لخداع الضحايا وسرقة المعلومات

يبدو أن نوعًا جديدًا من حصان طروادة المصرفية Ursnif ، المعروف أيضًا باسم Gozi ، يخدع الضحايا غير الحذرين ويسرق معلوماتهم من خلال الهجوم تحت ...

يبدو أن نوعًا جديدًا من حصان طروادة المصرفية Ursnif ، المعروف أيضًا باسم Gozi ، يخدع الضحايا غير الحذرين ويسرق معلوماتهم من خلال الهجوم تحت ستار كابتشا غير ضار. يأتي التقرير من BleepingComputer الذي تلقى المعلومات من باحثين أمنيين في MalwareHunterTeam. 

على ما يبدو ، عند محاولة مشاهدة مقطع فيديو YouTube مضمن معين يرتبط محتواه بليلة عنيفة في سجن للنساء في نيو جيرسي عبر عنوان URL ، يتم تنزيل ملف باسم "console-play.exe" ، والذي يخدم البرامج الضارة. يحدث هذا عندما تضغط على فيديو سجن النساء على YouTube NJ. 

بعد ذلك ، يتم عرض reCAPTCHA مزيف يطلب من المستخدم الضغط على أزرار معينة لإثبات أنه ليس روبوت. أيضًا نظرًا لأن وحدة التحكم play.exe هي ملف قابل للتنفيذ ، يحذر المتصفح المستخدم من تهديدات البرامج الضارة المحتملة.  ومع ذلك ، يلعب reCAPTCHA دوره هنا من أجل خداع المستخدم غير المطمئن.

 يطلب من المستخدم الضغط على مفاتيح B و S و Tab و A و F وأخيرًا مفاتيح Enter. وبينما يتم استخدام B و S و A و F ببساطة كخداع ، فإن مفتاح Tab يسلط الضوء على زر "الاحتفاظ" في تحذير البرامج الضارة للمتصفح. وبمجرد وضع Enter ، ربما يرحب المستخدم دون علم بالملف الضار الذي يوزع حصان طروادة Ursnif.  ويبدو أن الفيديو سيبدأ في التشغيل بعد الانتهاء من ذلك مما يجعل المستخدم فخورًا بنفسه بأنه ليس روبوتًا بالفعل.

إذا تم تشغيل الفيروس التي تم تنزيله play.exe ، فسيتم إنشاء مجلد ضمن دليل AppData. هذا المجلد يسمى "Bouncy for .NET Helper" ولديه الكثير من الملفات فيه بخلاف البرامج الضارة الرئيسية التي تحتوي على ملف تنفيذي يسمى "BouncyDotNet.exe".

على ما يبدو ، BouncyDotNet.exe قادر على إنشاء ملف DLL المعدي الذي يساعد على انتشار حصان طروادة Ursnif. يمكن أن يسرق حصان طروادة المعلومات المتعلقة ببيانات الاعتماد وما إلى ذلك.  هذه ليست المرة الأولى من هجوم Ursnif هذا العام حيث ذكرت Avast في مارس أن البرامج الضارة أصابت أكثر من 100 بنك في إيطاليا.