Nueva variante troyano bancario Ursnif

Una nueva versión mejorada del infame troyano bancario Ursnif aprovecha la infraestructura de botnets Necurs dirigida a las empresas italianas.

El malware se dirige principalmente al sector financiero y se detectó por primera vez en el año 2009.

Los investigadores de CSE Cybsec ZLab descubrieron que la nueva campaña estará activa desde el 6 de junio, y afectaron a las empresas italianas con documentos maliciosos de Microsoft Word y métodos de ingeniería social para engañar a los usuarios para que habiliten las macros.

Una vez que Ursnif se infectó en la máquina, intenta propagar la infección a todas las otras direcciones de correo electrónico en el libro de contactos y para engañar a las víctimas hace que el mensaje haya aparecido como respuesta en la conversación anterior.

El correo electrónico se escribió en un idioma italiano incorrecto y los documentos parecían creados a partir de una versión anterior de Microsoft Office que solicita al usuario habilitar las macros.

La infección comienza una vez que el usuario habilitó la macro, que inicia una secuencia de comandos maliciosa que descarga y ejecuta la carga desde el servidor de C & C.

"El troyano bancario Ursnif puede operar sin que tanto el usuario como el sistema operativo lo noten, ya que es capaz de inyectar su código malicioso en el proceso" explorer.exe ", que es uno de los procesos más importantes en el sistema operativo de Microsoft".

Con la nueva variante de diferentes dominios Ursnif y diferentes macros detectadas, en el momento del análisis los investigadores detectaron que la mayoría de los dominios se desconectaron.

Todos los dominios parecían estar registrados bajo el mismo correo electrónico [whois-protect[@]hotmail[.]com], "Investigando en la dirección de correo electrónico, descubrimos que se utilizó para registrar aproximadamente 1000 dominios diferentes", dijeron los investigadores.

Necurs botnet es una de las amenazas más grandes de Malspam que se distribuye por los ciberdelincuentes para ofrecer diversas amenazas de gran potencial basadas en malware peligroso y ransomware.

También es responsable de varias operaciones de ataque de ransomware como JAFF Ransomware, Scarab Ransomware, troyano bancario Trickbot, y jugó el papel más importante de distribución de Locky Ransomware con 23 millones de correos electrónicos en solo 24 horas.

Esta es la primera vez que la campaña de Ursnif utiliza la infraestructura de botnets de Necurs, CSE CyberSec Enterprise publicó un informe de análisis completo junto con los IOC asociados con el incidente.

Semrush sigue a tu competencia


Fecha actualización el 2018-06-25. Fecha publicación el 2018-06-25. Categoria: troyano. Autor: Oscar olg Mapa del sitio Fuente: gbhackers
Troyano bancario Ursnif