URSNIF :El troyano bancario que logra distinguir usuarios humanos de máquinas virtuales y sandboxing

Troyano bancario logra distinguir usuarios humanos de máquinas virtuales y sandboxing

Una nueva versión del troyano bancario Ursnif incorpora tecnología que le permite eludir entornos de sandboxing y máquinas virtuales automatizadas utilizando los movimientos del ratón para detectar si un usuario real está interactuando con la computadora.

El procedimiento busca detectar si el puntero del ratón realiza movimientos en la pantalla, algo propio de los usuarios humanos, que no ocurre en pruebas de seguridad y entornos de análisis de malware, donde el puntero permanece en la misma posición durante todo el proceso de análisis.

La información ha sido publicada en el blog de Forcepoint Security, empresa que en enero de 2016 informaba que el mismo troyano utilizaba técnicas de evasión basadas en el protocolo de hipertexto HTTP.

En esta oportunidad, la empresa ha descubierto un nuevo procedimiento al analizar una variante de Ursnif anexa a un documento cifrado de Word que a su vez contiene archivos VBS cargados de archivos DLL malignos. DLL, o bibliotecas de enlaces dinámicos o bibliotecas de enlaces dinámicos son archivos con código ejecutable que se cargan por el sistema operativo a petición de un programa específico.

El mensaje de correo electrónico que incluye el documento Word maligno incorpora una contraseña que permite abrirlo. Una vez abierto, presenta tres iconos con la extensión “.docx” que induce a los usuarios a hacer doble clic directamente en ellos. Sin embargo, no se trata de documentos Word sino de scripts VBS (Visual Basic) que, una vez activados, descargan malware desde dos dominios.

Las DLL malignas contienen grandes cantidades de código de abultamiento, cuya finalidad es ofuscar los intentos de análisis realizado por software de seguridad. Una vez conseguido este propósito, los archivos son ejecutados, procediendo a realizar procedimientos de detección de sandboxing y de máquinas virtuales, entre otros.

Control Anti-sandboxing
En su análisis, ForcePoint escribe que el malware intenta detectar movimientos del ratón estableciendo sus coordenadas. Al conseguirlo, evita entornos de sandbox, donde el puntero del ratón permanece inmóvil. El procedimiento implica que al detectar un entorno de sandboxing, Urniff bloquea la ejecución del troyano. Por el contrario, al detectar un entorno humano, activa el malware.

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies