El malware Ursnif se ha convertido en el último malware en abandonar sus raíces como un troyano bancario para renovarse y convertirse en una puerta trasera genérica capaz de entregar cargas útiles de la próxima etapa, uniéndose a Emotet, Qakbot y TrickBot.
«Este es un cambio significativo del propósito original del malware para permitir el fraude bancario, pero es consistente con el panorama de amenazas más amplio», los investigadores de Mandiant Sandor Nemes, Sulian Lebegue y Jessa Valdez. revelado en un análisis del miércoles.
La variante actualizada y refactorizada, detectada por primera vez por la firma de inteligencia de amenazas propiedad de Google en la naturaleza el 23 de junio de 2022, recibió el nombre en código LDR4, en lo que se considera un intento de sentar las bases para posibles operaciones de extorsión de robo de datos y ransomware.
Ursnif, también llamado Gozi o ISFB, es una de las familias de malware bancario más antiguas, con los primeros ataques documentados desde 2007. Check Point, en agosto de 2020, mapeó el «evolución divergente de Gozi» a lo largo de los años, al tiempo que señala su historia de desarrollo fragmentado.
Casi un año después, a fines de junio de 2021, un actor de amenazas rumano, Mihai Ionut Paunescu, fue arrestado por funcionarios encargados de hacer cumplir la ley colombianos por su papel en la propagación del malware a no menos de un millón de computadoras entre 2007 y 2012.
La última cadena de ataque detallada por Mandiant demuestra el uso de señuelos de correo electrónico relacionados con la facturación y el reclutamiento como un vector de intrusión inicial para descargar un documento de Microsoft Excel, que luego obtiene y lanza el malware.
La importante remodelación de Ursnif evita todas sus características y módulos relacionados con la banca en favor de recuperar un Módulo VNC y obtener un shell remoto en la máquina comprometida, que se llevan a cabo conectándose a un servidor remoto para obtener dichos comandos.
«Estos cambios pueden reflejar un mayor enfoque de los actores de amenazas hacia la participación o la habilitación de operaciones de ransomware en el futuro», dijeron los investigadores.