Banquero Ursnif se reenfoca en extorsión

Banquero Ursnif se reenfoca en extorsión

El conocido troyano bancario Ursnif (también conocido como Gozi) se está convirtiendo en una puerta trasera universal, desprovista de la funcionalidad típica de los banqueros. Aparentemente, ahora sus operadores tienen la intención de centrarse en la propagación de ransomware y robo de datos.

Los cambios en el código de malware fueron descubiertos por expertos de la compañía Mandiant. Están rastreando una nueva versión encontrada en junio de 2022, con nombre en código LDR4, y creen que el malware está siendo propagado por los mismos atacantes que han admitido las versiones Ursnif de RM3 en los últimos años.

ursnif variants1

Ursnif LDR4 se distribuye de forma clásica: a través de correos electrónicos con ofertas de trabajo falsas. Dichos mensajes contienen un enlace al sitio web de la empresa supuestamente real, donde se invita a las víctimas a resolver un CAPTCHA y descargar un documento de Excel con una macro que extrae la carga útil del malware de un servidor remoto. Los investigadores señalan que los operadores del troyano han utilizado previamente esta táctica.

La versión LDR4 viene como una DLL (cargador.dll), empaquetada con un cifrador y firmada con certificados válidos. Esto ayuda al malware a evitar la detección. Al mismo tiempo, todas las funciones inherentes al troyano bancario se han eliminado de LDR4, y el código de malware se ha limpiado y simplificado significativamente.

Después de infiltrarse en la máquina de la víctima, el Ursnif actualizado recopila datos de servicio del sistema del registro de Windows y genera un ID de usuario y del sistema. A continuación, se conecta al servidor de administración mediante la clave RSA registrada en el archivo de configuración e intenta obtener una lista de comandos para ejecutar en el host.

La versión LDR4 admite los siguientes comandos:

  • Cargue el módulo DLL en el proceso actual.
  • obtener el estado del cmd.exe del shell inverso;
  • iniciar cmd de shell inverso.exe;
  • detener el cmd del shell inverso.exe;
  • reiniciar cmd de shell inverso.exe;
  • Ejecutar un comando arbitrario.
  • ser eliminado.

Cabe señalar que el sistema incorporado que utiliza una dirección IP remota para instalar un shell inverso no es nuevo, pero ahora está integrado directamente en el binario de malware, en lugar de utilizar un módulo adicional, como era antes. Además, el sistema de complementos ha sido abolido, ya que el comando para cargar el módulo DLL en el proceso actual puede ampliar las capacidades del malware según sea necesario. Como ejemplo, los analistas de Mandiant citan el módulo VNC (vnc64_1.dll), que le da a LDR4 la capacidad de realizar ataques a sistemas comprometidos «manualmente».

malware 1

Según los investigadores, los operadores de Ursnif decidieron actualizar su malware, convirtiéndolo en una herramienta para la piratería inicial, lo que abre la puerta al sistema para otros programas maliciosos. Lo más probable es que ahora Ursnif se centre en la cooperación con ransomware, ya que los investigadores notaron en los foros de hackers un atacante que está buscando socios en la distribución de ransomware y Ursnif.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *