NUEVAS VICTIMAS DEL TROYANO URSnif

Publicado el 10 marzo 2021 ¬ 17:50 pmh.mscComentarios desactivados en NUEVAS VICTIMAS DEL TROYANO URSnif

Recientemente se han detectado nuevas víctimas del troyano URSnif. En esta ocasión, la información de tarjetas de pago y otros datos en riesgo pertenecen a los clientes de al menos un centenar de bancos italianos según Avast Threat Labs.

Troyano URSnif
El malware URSnif está diseñado para el robo de credenciales bancarias. (Pixabay)
Objetivos recientes del troyano URSnif

Tras descubrirse a finales de enero de este mismo año que la banca alemana se había visto afectada por las nuevas variantes del malware URSnif, ahora ha sido la banca italiana la identificada por Avast Threat Labs como nuevo objetivo. Confirmando así nuevamente que sigue siendo una amenaza constante y persistente.

A lo largo de los años, este troyano ha afectado a muchos países de todo el mundo, evolucionando e incluso adaptándose a los idiomas nativos de sus víctimas. Entre los países a los que URSnif ha impactado significativamente se haya ahora Italia.

Al analizar la información, los investigadores de Avast afirman haber encontrado información que podría usarse para ayudar a proteger a las víctimas pasadas y actuales. Por lo que la información obtenida durante los análisis del malware fue compartida con las entidades afectadas y con el CERT italiano para ayudar en la mitigación de URSnif.

Funcionamiento del malware URSnif

El troyano URSnif, aparecido inicialmente en 2017, está diseñado para el ecosistema Windows con el objeto de robar información y credenciales bancarias y de correo electrónico. Además, es capaz de descargar y ejecutar archivos en los equipos infectados. Este malware bancario también es conocido como: Trojan:W32/Ursnif, Trojan.Spy.Ursnif, Trojan.GenericKD.30550163, Gozi o ISFB.

Según el informe técnico del analista Neeraj Singh en F-Secure, este troyano bancario trata de evitar el análisis dinámico de malware. Una de las estrategias seguidas consiste en mostrar una alerta falsa con el texto «Error Initializing Client App!» en el caso de detectar un entorno virtual o de depuración. También está preparado para evadir las defensas del sistema atacado, reemplazando parte del código de los procesos svchost.exe o explorer.exe (process hollowing) e inyectando en el navegador el archivo client.dll, adaptado al sistema (tanto para 32 bits como para 64 bits).

El vector de infección usado es el spam, propagándose mediante un archivo adjunto enviado por correo electrónico. De modo que dicho correo electrónico simula ser una respuesta a una cadena en la que se solicita a la víctima la apertura del archivo ZIP adjunto con una contraseña específica. Una vez que la víctima abre el adjunto, el malware intenta robar información del sistema y la almacena en un archivo. El siguiente paso de este troyano bancario es conectarse al servidor de comando y control (C&C) malicioso para subir el archivo con la información robada.

Información obtenida por el malware

Entre la información recopilada por URSnif se cuenta el listado de controladores de dispositivo instalados (recabado con la ayuda de riverquery.exe), el listado de programas instalados (recopilado al ejecutar reg.exe «HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall»), la información del sistema (conseguida con systeminfo.exe) y los procesos ejecutados en el momento (obtenidos gracias a tasklist.exe / SVC).

Además, se ha determinado que este troyano es capaz también de: robar datos del correo electrónico debido a que es capaz de analizar diferentes tipos de formato de correo electrónico y aplicaciones asociadas; y de interceptar datos e información intercambiada con formularios web manejados por navegadores como Chrome, Internet Explorer, Thunderbird o Firefox.

Indicadores de compromiso del URSnif

Se ha identificado la creación de tres archivos por parte del troyano URSnif:

Una copia de sí mismo con un nombre conformado a partir de cadenas extraídas del sistema de archivos de la víctima («% appdata% \ [Random_Folder] \ [Dropped_Filename] .exe»).
Un archivo por lotes (batch) para su autoejecución y posterior borrado («% temp% \ [Random_Folder] \ [Random_File] .bat»).
Un archivo de almacenamiento en formato CAB creado con makecab.exe, donde almacenar los datos robados («% temp% \ [Random_Hex] .bin»).
También se ha comprobado que este malware agrega las siguientes claves de registro al ejecutarse:

(1) HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ [Dropped_Filename]:
«% appdata% \ [Random_Folder] \ [Dropped_Filename] .exe
(2) HKCU \ Software \ AppDataLow \ Software \ Microsoft \ {GUID} \ Vars
(3) HKCU \ Software \ AppDataLow \ Software \ Microsoft \ {GUID} \ Archivos
(4) HKCU \ Software \ AppDataLow \ Software \ Microsoft \ {GUID} \ Config

 

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies