Ursnif là một mã độc xuất hiện vào năm 2014, đánh cắp hàng loạt dữ liệu giáo dục, tài chính và sản xuất tại Anh, Mỹ, Canada... Mã độc hoạt động mạnh trong năm 2016, trước khi trở lại và bùng nổ từ quý III/2017 với mục tiêu nhắm đến là các ngân hàng Nhật Bản.

Theo nhóm X-Force của IBM, tin tặc đã dùng Ursnif (còn gọi là Gozi) tấn công Triều Tiên, châu Âu, Úc và Nhật Bản trong nhiều năm. Bên cạnh đó, Ursnif còn nhắm đến các ngân hàng ở Tây Ban Nha, Ba Lan, Bulgari và Cộng hòa Séc trong năm 2017.

Tuy nhiên, các phân tích gần đây cho thấy, tin tặc chủ yếu tập trung tấn công hàng loạt ngân hàng Nhật Bản và các nhà cung cấp thẻ thanh toán kể từ tháng 9/2017. Với kỹ thuật tấn công mới, tin tặc đứng đằng sau Ursnif đã đẩy mạnh các chiến dịch phát tán thư rác để phát tán phần mềm độc hại.

Limor Kessem, cố vấn bảo mật của IBM cho biết: Ursnif hoạt động mạnh nhất trong lĩnh vực tài chính vào năm 2016 và vẫn duy trì trong năm 2017 khi trở lại. Dù cách thức tấn công của mỗi chiến dịch là khác nhau nhưng hầu như mục tiêu tấn công không thay đổi.

Tuy nhiên, nếu như trước đây Ursnif chỉ lây nhiễm thông qua việc phát tán thư rác và phần mềm chứa trojan, thì giờ đây nó còn nhắm mục tiêu người dùng webmail, lưu trữ đám mây, các nền tảng giao dịch điện tử và các trang web thương mại điện tử.

Các tác nhân đe dọa đã mở rộng và tin tặc đã sử dụng nhiều kỹ thuật khác nhau bao gồm: lấy dữ liệu từ các phần mềm bảo mật, lợi dụng lỗ hổng web để tấn công vào câu lệnh cơ sở dữ liệu thông qua chèn các đoạn mã độc vào SQL và chuyển hướng trang. Tin tặc còn sử dụng các tệp đính kèm giả mạo được gửi từ các nhà cung cấp dịch vụ tài chính tại Nhật Bản.

Kessem cho biết: Trong các thư rác, người dùng sẽ nhận được một liên kết HTML dẫn đến tệp lưu trữ (.zip) chứa JavaScript, nếu nhấn vào thì sẽ thực thi lệnh PowerShell kết nối máy chủ từ xa và thực hiện lây nhiễm mã độc vào thiết bị. 

Các chiến dịch gần đây của Ursnif còn sử dụng kỹ thuật tinh vi hơn, đó là chỉ khởi động PowerShell sau khi người dùng đóng tệp chứa phần mềm độc hại. Tức là khi đã bấm vào thì dù có đóng tệp tin, mã độc vẫn bị lan truyền. Phương pháp này giúp phần mềm độc hại tránh được việc bị phát hiện.

Các nhà nghiên cứu quan sát thấy rằng, các chiến dịch thường diễn ra tuần hoàn theo chu kỳ, thường vào tối thứ 3 hàng tuần, tăng đột biến vào các ngày thứ 5 và thứ 6.

Lần đầu tiên bị phát hiện vào năm 2007, Ursnif đã lừa đảo trực tuyến hàng loạt ngân hàng ở các quốc gia nói bằng ngôn ngữ tiếng Anh. Trong năm 2010, mã nguồn của phần mềm độc hại này đã bị vô hiệu hóa bởi một nhóm tin tặc và tạo ra các trojan khác như Vawtrak và Neverquest.

Kessem giải thích: Tội phạm mạng có tổ chức ở Nhật Bản không phải quá lâu nhưng chúng luôn có đủ nguồn lực và thủ thuật để tấn công tinh vi hơn, kiếm tiền dễ dàng hơn và luôn gây bất ngờ cho người dùng và các chuyên gia. Đối với người dùng ít nhận thức về việc lừa đảo trực tuyến và không nắm chắc các kỹ thuật phòng tránh trong suốt phiên giao dịch ngân hàng thì chắc chắn tỉ lệ bị tấn công rất cao.

Ông nói thêm: Ngoài sử dụng mã độc Ursnif để tấn công, các nhóm tin tặc còn sử dụng các mã độc như Dridex và TrickBot để tổ chức các cuộc tấn công khác. Tuy nhiên, đã bị phát hiện với mục tiêu nhắm đến các ngân hàng ở 40 quốc gia, nhưng lại trừ Nhật Bản. Điều này cho thấy ngay cả trên Internet, các băng nhóm tội phạm mạng cũng phân chia thị trường riêng để tránh triệt tiêu lẫn nhau.