据IBM X-Force的研究人员透露，从上个月开始，网络罪犯分子就开始通过垃圾邮件传播一个臭名昭着的银行木马——Ursnif。

Ursnif，也被称为a.k.a Gozi，是由Gozi银行木马经历了多年的更新演变而来。曾是2016年金融行业里最活跃的银行木马之一，并一直持续到今年。

在先前的活动中，Ursnif主要针对日本、北美、欧洲和澳大利亚。现在，Ursnif的开发者已经增强了其逃避安全检测的能力，并将目标集中在了日本。

针对日本的Ursnif变种将攻击的具体对象设定为本地网络邮件、云存储、加密货币交易平台和电子商务网站的用户凭证。

Ursnif在2007年首次被专家发现，其源代码在2014年被意外泄漏。随着多年来网络注入技术的不断发展，Ursnif被陆续增加了一些新的功能，进而演变出诸多版本的新变种。

最新版本的Ursnif能够进行多种恶意活动，包括：

基于脚本的浏览器操作；

网络注入和浏览器中间人攻击（ MITB）；

表单抓取；

屏幕截图和会话视频抓取；

隐藏的VNC 和SOCKS代理攻击。

此次针对日本的Ursnif活动采用了与今年夏天活动一样的传播方式，就是利用附带恶意附件的垃圾电子邮件群发放给指定目标，其中的附件假冒来自日本金融服务和支付卡供应商。专家们还观察到，新的Ursnif变种提供了一个HTML链接，指向一个包含JavaScript脚本的.zip文件。该脚本会启动另一个能够从远程服务器获取Ursnif有效载荷的PowerShell，并且只有在受害者关闭恶意文件之后才会启动这个PowerShell。这是一种逃避宏检测的技术，它有助于Ursnif逃避沙箱检测。

另外，专家强调，自2015年以来日本金融行业的安全状况就越来越糟糕。在2015年9月，恶意软件Shifu就将14个日本金融行业企业作为了攻击目标。

Shifu在日本的活动于2017年消失，但它打开了其他网络犯罪的闸门，如URLZone、Rovnix以及此次发现的加强版的Ursnif