Nueva variante de URSNIF ataca entidades italianas

Los investigadores de CSE Cybsec ZLab estudian una nueva variante de Ursnif que apunta a compañías italianas utilizando documentos de Microsoft Word especialmente manipulados.

Ya hablamos en su momento de Ursnif, un viejo conocido entre la comunidad de analistas de malware. Fue uno de los bankers más prolíficos de los dos últimos años y afectó a usuarios de distintas partes del mundo: Japón, Norte América, Europa y Australia fueron las zonas más afectadas. El malware, activo desde 2009 ha evolucionado en distintas variantes para adaptarse a los mecanismos que tratan de impedir la amenaza.

Recientemente se ha encontrado una nueva variante que utiliza técnicas de ingeniería social y documentos de Microsoft Word modificados para infectar a las víctimas.

El proceso de infección comienza con un correo dirigido a la víctima con un documento de Word adjunto.

El documento de Word muestra un phishing que intenta convencer a la víctima de que habilite las macros para poder ver correctamente el contenido del documento.

Phishing en el documento de Word. Fuente: http://csecybsec.com

Una vez permitida la ejecución de macros, el malware ya puede infectar la máquina y propagarse. Para ello ejecuta un payload que descargará del servidor de C&C. El cual instalará el binario malicioso en el sistema y descargará otro (cmiftall.exe) que implementará la persistencia, añadiendo una entrada maliciosa al registro de Windows. Además, el malware se intentará propagar enviando el correo con el adjunto malicioso a los contactos de la víctima.

Como decíamos la campaña está dirigida a usuarios italianos. El correo se presenta escrito en este idioma, con faltas de ortografía y un documento de Microsoft Word adjunto. Algunas muestras encontradas nombraban a estos ficheros como:

ComunediVALDELLATORRE_Richiesta.doc
IV_Richiesta.doc
OrdineDeiGiornalisti_Richiesta.doc
WSGgroup_Richiesta.doc
CB_Richiesta.doc

Algunos IOCs compartidos por CSE Cybsec son:

Dominios

qwdqwdqwd19 .com
g94q1w8dqw .com
vqubwduhbsd .com
fq1qwd8qwd4 .com
wdq9d5q18wd .com
qwd1q6w1dq6wd1 .com
qw8e78qw7e .com
qwdohqwnduasndwjd212 .com

IPs

23.227.201.166
172.106.170.85
89.37.226.117
86.105.1.131
62.113.238.147
89.37.226.156
198.55.107.164

Emails

whois-protect@hotmail.com
zhejiangshangbang@qq.com

Hashes

C97E623145F7B44497B31EF31A39EFED
B48F658DBD0EF764778F953E788D38C9
6F571B39FCDE69100EB7AEC3C0DB0A98
29CA7312B356531F9A7A4C1C8D164BDD
535A4EBB8AEF4C3F18D9B68331F4B964
347CE248B44F2B26ADC600356B6E9034
3C301FF033CB3F1AF0652579AD5BC859
716D8D952102F313F65436DCB89E90AE
FD26B4B73E73153F934E3535A42B7A16

Como siempre, desde Hispasec recomendamos no abrir correos con adjuntos no solicitados

Ver información original al respecto en Fuente: