Ursnif kötü amaçlı yazılımı, Emotet, Qakbot ve TrickBot’un beğenisine katılarak, kendisini bir sonraki aşama yükleri sunabilen genel bir arka kapıya dönüştürmek için bir bankacılık truva atı olarak köklerini salan en son kötü amaçlı yazılım haline geldi.
Mandiant araştırmacıları Sandor Nemes, Sulian Lebegue ve Jessa Valdez, “Bu, kötü amaçlı yazılımın bankacılık sahtekarlığına olanak sağlamak için orijinal amacından önemli bir değişiklik, ancak daha geniş tehdit ortamıyla tutarlı.” ifşa Çarşamba analizinde.
İlk olarak 23 Haziran 2022’de Google’a ait tehdit istihbarat firması tarafından keşfedilen yenilenmiş ve yeniden düzenlenmiş varyant, potansiyel fidye yazılımı ve veri hırsızlığı operasyonları için zemin hazırlama girişimi olarak görülen LDR4 olarak kodlandı.
Gozi veya ISFB olarak da adlandırılan Ursnif, en eski bankacı kötü amaçlı yazılım ailelerinden biridir. en erken belgelenmiş saldırılar 2007 yılına kadar geri gidiyor. Check Point, Ağustos 2020’de “Gozi’nin farklı evrimi“Yıllar içinde parçalanmış gelişim geçmişine dikkat çekerken.
Neredeyse bir yıl sonra Haziran 2021’in sonlarında, bir Rumen tehdit aktörü Mihai Ionut Paunescu, kötü amaçlı yazılımı 2007’den 2012’ye kadar bir milyondan az olmayan bilgisayara yaymadaki rolü nedeniyle Kolombiyalı kolluk kuvvetleri tarafından tutuklandı.
Mandiant tarafından detaylandırılan en son saldırı zinciri, bir Microsoft Excel belgesini indirmek için ilk izinsiz giriş vektörü olarak işe alım ve faturayla ilgili e-posta cazibelerinin kullanımını göstermektedir, bu belge daha sonra kötü amaçlı yazılımı alır ve başlatır.
Ursnif’in büyük ölçüde yenilenmesi, bankacılıkla ilgili tüm özelliklerinden ve modüllerinden, bir VNC modülü ve söz konusu komutları almak için bir uzak sunucuya bağlanarak gerçekleştirilen, güvenliği ihlal edilmiş makineye uzak bir kabuk kazandırmak.
Araştırmacılar, “Bu değişimler, tehdit aktörlerinin gelecekte fidye yazılımı operasyonlarına katılmaya veya bunları etkinleştirmeye yönelik artan odağını yansıtabilir” dedi.
