O que é o malware Ursnif?

O malware Ursnif (também conhecido como Gozi, Gozi-ISFB, Dreambot, Papras e snifula) é classificado como trojan bancário, stealer e spyware e foi classificado como a segunda variedade de malware mais ativa de 2020, responsável por mais de 30% das detecções de malware. O tempo de vida de várias décadas do Ursnif, que apareceu pela primeira vez em 2000, faz dele uma das famílias de malware mais antigas. As frequentes divulgações públicas do código-fonte também a tornaram uma das linhagens de malware com mais bifurcações. A família de malware Ursnif inclui um número crescente de variantes altamente eficazes com uma ampla gama de recursos modulares. Em 2021, a Ursnif foi destacada como uma das principais linhagens de malware preocupantes pela CISA do governo dos EUA.

Últimas notícias do Ursnif

Pesquisadores descobriram a infraestrutura C2 usada pelo malware Ursnif (Cyber Security)
Anúncios do Google divulgam malware 'virtualizado' criado para burlar antivírus (BleepingComputer)
O malware Ursnif muda de roubo de contas bancárias para acesso inicial (BleepingComputer)
As 11 principais cepas de Maware de 2021 - e como evitá-las (BlackBerry Blog)

Linha do tempo de Ursnif

2000: O Ursnif é atribuído ao infame desenvolvedor de malware russo Alexey Ivanov (também conhecido como subbsta)

2006: Os recursos do Ursnif stealer foram combinados com as funções de botnet e de comando e controle (C2) do malware Nuclear Grabber para criar o Gozi

2010: A nova versão Gozi-ISFB surge do código-fonte do Gozi que vazou e se torna a cepa dominante do Ursnif

2014: Surge o Dreambot, uma variante do Ursnif que permite a operação pela rede TOR, que permanece popular até 2020

2014: Surge o Vawtrak (também conhecido como Catch, grabnew, NeverQuest). Embora baseado no código original do Gozi, ele é bifurcado extensivamente em seu bem-sucedido trojan bancário com área de trabalho remota VNC para vigiar alvos e roubar dados, bem como injeções sofisticadas na Web para roubar credenciais de sessão e tokens MFA de usuários que fazem login em sites bancários e de criptografia

2016: O malware bancário GozNym combina a furtividade da cepa de malware Nymaim e os recursos da cepa Gozi-ISFB do Ursnif. Em 2019, ele instigou uma operação internacional sem precedentes de aplicação da lei pela Europol

2020: LOLsnif (também conhecido como Goziat), nomeado por sua técnica de evasão de detecção "Living Off the Land", aumenta a proeminência do Ursnif

Como funciona o Ursnif

As táticas de primeiro estágio do Ursnif para obter acesso inicial são semelhantes às de outras linhagens de malware, incluindo anexos de e-mail, sites mal-intencionados e aplicativos trojanizados. Uma recente campanha bem-sucedida do Ursnif envolveu uma técnica particularmente astuta e notável: usar credenciais de e-mail roubadas para injetar respostas de spear-phishing em conversas em andamento. Essas mensagens injetadas direcionam os destinatários a abrir um anexo malicioso que executa a carga útil de segundo estágio do Ursnif.

As cargas úteis de acesso inicial do Ursnif geralmente exigem que o alvo habilite as macros do Microsoft Office, o que permite que um executável pré-compilado seja obtido de um servidor controlado pelo atacante e executado no sistema do alvo. O processo de segundo estágio começa com o Ursnif roubando todas as credenciais de usuário que consegue encontrar, conectando-se a um servidor de comando e controle (C2) e baixando e instalando módulos adicionais de segundo estágio.

Versões recentes do Ursnif tentam evitar a detecção usando uma técnica chamada LOLBins (abreviação de Living Off the Land Binaries) que utiliza ferramentas de software nativas do Windows (por exemplo, powershell.exe, mshta.exe) para atingir seus objetivos em vez de importar ferramentas. Para aumentar a furtividade, as versões mais recentes do Ursnif se vinculam aos URLs do Google Drive para evitar o uso de nomes de domínio bloqueados ou endereços IP que os produtos de segurança reconheceriam. O Ursnif também usa arquivos ZIP protegidos por senha, garantindo que sua carga útil seja criptografada ao entrar na rede para evitar produtos de segurança menos sofisticados.

Recursos modulares do Ursnif

Coleta de informações e coleta de credenciais de clientes populares de e-mail, navegadores e FTP
Vigilância e roubo de pressionamentos de teclas, capturas de tela e dados da área de transferência do usuário
Interceptar e modificar o tráfego do navegador inserindo código extra (ou seja, injeções na Web) em sites populares de bancos e de troca de criptomoedas para coletar credenciais, incluindo tokens de autenticação multifator (MFA), e para invadir contas de usuários
Fazer upload e download de arquivos de e para um sistema comprometido
Estabelecimento de acesso à área de trabalho remota VNC usando uma conexão baseada em SOCKS para vigilância e acesso remoto
Algoritmos de geração de domínios (DGA) que criam dinamicamente nomes de domínios e os utilizam como C2 para evitar identificação e bloqueio

Sinais de um ataque de Ursnif

Recentemente, o Ursnif foi entregue com sucesso em campanhas com conteúdo de spam gramaticalmente correto e profissional, que demonstra um nível razoável de conhecimento sobre políticas locais para atrair cidadãos de estados-nação individuais, como Polônia, Itália e Japão. As campanhas têm como alvo o setor financeiro, aparentando ter informações importantes relacionadas a mudanças nas políticas fiscais ou outras implicações regulatórias.

De uma perspectiva mais técnica, alguns dos nomes de domínios bloqueados, endereços IP e hashes de arquivos de malware do Ursnif podem ser usados para detectar o malware quando ele entra em uma rede. No entanto, esses métodos de detecção baseados em assinatura têm limitações conhecidas para detectar novas cepas de malware; versões mais recentes do Ursnif usaram o DGA para evitar que seus domínios C2 e endereços IP fossem detectados.

Como evitar um ataque de Ursnif

As táticas mais eficazes para evitar um ataque do Ursnif são semelhantes às táticas de defesa contra outras cepas de malware que usam vetores comuns de ataque de primeiro estágio, como phishing com documentos trojanizados do Microsoft Office e credenciais roubadas.

Imponha a autenticação multifator para todos os serviços essenciais, especialmente contas bancárias on-line e de criptomoeda
Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
Reconhecer o risco maior que os arquivos criptografados apresentam e verificar o contexto de tais documentos cuidadosamente antes de abri-los
Instalar e configurar produtos de segurança de endpoint que farão a varredura de documentos criptografados imediatamente após serem descriptografados
Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos
Certifique-se de que os aplicativos do Office estejam configurados com Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente assinadas digitalmente

CylanceOPTICS Evita o Ursnif

^OCylanceOPTICS^® fornece detecção e correção de ameaças no dispositivo usando inteligência artificial (IA) para evitar incidentes de segurança com análise de causa raiz, busca inteligente de ameaças e recursos automatizados de detecção e resposta. Nossa abordagem de EDR (Endpoint Detection and Response) elimina efetivamente a latência de resposta. Isso pode ser a diferença entre um pequeno incidente de segurança e um evento generalizado e sem controle.

Saiba mais

Malware Ursnif