¿Qué es el malware Ursnif?

El malware Ursnif (también conocido como Gozi, Gozi-ISFB, Dreambot, Papras y snifula) está clasificado como troyano bancario, ladrón y programa espía, y fue clasificado como la segunda cepa de malware más activa de 2020, responsable de más del 30% de las detecciones de malware. La larga vida de Ursnif -apareció por primera vez en 2000- lo convierte en una de las familias de malware más antiguas. Las frecuentes revelaciones públicas de su código fuente también la han convertido en una de las familias de malware con más bifurcaciones. La familia de malware Ursnif incluye un número creciente de variantes muy eficaces con una amplia gama de características modulares. En 2021, Ursnif fue destacada como una de las cepas de malware más preocupantes por la CISA del gobierno estadounidense.

Últimas noticias de Ursnif

Los investigadores descubren la infraestructura C2 utilizada por el malware Ursnif (Ciberseguridad)
Los anuncios de Google promocionan malware "virtualizado" para evadir los antivirus (BleepingComputer)
El malware Ursnif pasa del robo de cuentas bancarias al acceso inicial (BleepingComputer)
Las 11 principales cepas de maware de 2021 - Y cómo detenerlas (BlackBerry Blog)

Cronología de Ursnif

2000: Ursnif se atribuye al infame desarrollador ruso de malware Alexey Ivanov (alias subbsta).

2006: Las capacidades de robo de Ursnif se combinaron con las funciones de botnet y comando y control (C2) del malware Nuclear Grabber para crear Gozi.

2010: La nueva versión Gozi-ISFB surge del código fuente filtrado de Gozi y se convierte en la cepa dominante de Ursnif.

2014: Surge Dreambot, una variante de Ursnif que permite operar a través de la red TOR y se mantiene popular hasta 2020

2014: Aparece Vawtrak (alias Catch, grabnew, NeverQuest). Aunque se basa en el código original de Gozi, se bifurca ampliamente en su exitoso troyano bancario con escritorio remoto VNC para vigilar objetivos y robar datos, así como sofisticadas inyecciones web para robar credenciales de sesión y tokens MFA de usuarios que inician sesión en sitios bancarios y de criptomonedas.

2016: El malware bancario GozNym combina el sigilo de la cepa de malware Nymaim y las capacidades de la cepa Gozi-ISFB de Ursnif. En 2019, instigó una operación policial internacional sin precedentes por parte de Europol

2020: LOLsnif (alias Goziat), llamado así por su técnica de evasión de detección "Vivir de la tierra", aumenta el protagonismo de Ursnif

Cómo funciona Ursnif

Las tácticas de Ursnif en la primera etapa para obtener acceso inicial son similares a las de otras cepas de malware, incluidos los archivos adjuntos de correo electrónico, sitios web maliciosos y aplicaciones troyanizadas. En una reciente campaña de Ursnif que tuvo éxito se utilizó una técnica particularmente astuta y notable: el uso de credenciales de correo electrónico robadas para inyectar respuestas de spear-phishing en conversaciones en curso. Estos mensajes inyectados dirigen a los destinatarios a abrir un archivo adjunto malicioso que ejecuta la carga útil de segunda etapa de Ursnif.

Las cargas útiles de acceso inicial de Ursnif suelen requerir que el objetivo habilite las macros de Microsoft Office, lo que permite obtener un ejecutable precompilado desde un servidor controlado por el atacante y ejecutarlo en el sistema del objetivo. El proceso de la segunda fase comienza cuando Ursnif roba las credenciales de usuario que encuentra, se conecta a un servidor de mando y control (C2) y descarga e instala módulos adicionales de la segunda fase.

Las versiones recientes de Ursnif intentan eludir la detección mediante una técnica denominada LOLBins (abreviatura de Living Off the Land Binaries) que aprovecha herramientas de software nativas de Windows (por ejemplo, powershell.exe, mshta.exe) para lograr sus objetivos en lugar de importar herramientas. Para aumentar el sigilo, las versiones más recientes de Ursnif enlazan con URL de Google Drive para evitar el uso de nombres de dominio bloqueados o direcciones IP que los productos de seguridad reconocerían. Ursnif también utiliza archivos ZIP protegidos con contraseña, lo que garantiza que su carga útil esté cifrada al entrar en la red para eludir los productos de seguridad menos sofisticados.

Capacidades modulares de Ursnif

Recopilación de información y recogida de credenciales de clientes habituales de correo electrónico, navegadores y FTP.
Vigilancia y robo de las pulsaciones de teclado, capturas de pantalla y datos del portapapeles de los usuarios.
Interceptación y modificación del tráfico del navegador mediante la inserción de código adicional (es decir, inyecciones web) en populares sitios web bancarios y de intercambio de criptomonedas para recopilar credenciales, incluidos tokens de autenticación multifactor (MFA), y piratear cuentas de usuario.
Carga y descarga de archivos hacia y desde un sistema comprometido
Establecimiento del acceso al escritorio remoto VNC mediante una conexión basada en SOCKS para la vigilancia y el acceso remoto
Algoritmos de generación de dominios (DGA) que crean dinámicamente nombres de dominio y los utilizan como C2 para evitar su identificación y bloqueo.

Señales de un ataque de Ursnif

Recientemente, Ursnif se ha distribuido con éxito en campañas con contenidos de spam gramaticalmente correctos y de apariencia profesional que demuestran un nivel razonable de conocimientos sobre las políticas locales para atraer a ciudadanos de naciones concretas como Polonia, Italia y Japón. Las campañas se han dirigido al sector financiero aparentando contener información importante relacionada con cambios en las políticas fiscales u otras implicaciones normativas.

Desde un punto de vista más técnico, algunos de los nombres de dominio, direcciones IP y hashes de archivos de malware bloqueados por Ursnif pueden utilizarse para detectar el malware cuando entra en una red. Sin embargo, estos métodos de detección basados en firmas tienen limitaciones conocidas para detectar nuevas cepas de malware; las versiones más recientes de Ursnif han utilizado DGA para evitar que se detecten sus dominios C2 y direcciones IP.

Cómo prevenir un ataque de Ursnif

Las tácticas más eficaces para prevenir un ataque de Ursnif son similares a las utilizadas para defenderse de otras cepas de malware que utilizan vectores de ataque de primera fase comunes, como el phishing con documentos de Microsoft Office troyanizados y credenciales robadas.

Imponer la autenticación multifactor para todos los servicios críticos, especialmente la banca electrónica y las cuentas de criptomoneda.
Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
Reconocer el mayor riesgo que presentan los archivos cifrados y verificar minuciosamente el contexto de dichos documentos antes de abrirlos.
Instale y configure productos de seguridad para puntos finales que analicen los documentos cifrados inmediatamente después de descifrarlos.
Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos.
Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente configuración

CylanceOPTICS Previene Ursnif

CylanceOPTICS^® proporciona detección y corrección de amenazas en el dispositivo utilizando inteligencia artificial (IA) para prevenir incidentes de seguridad con análisis de causa raíz, búsqueda inteligente de amenazas y capacidades automatizadas de detección y respuesta. Nuestro enfoque Endpoint Detection and Response (EDR) elimina eficazmente la latencia de respuesta. Puede ser la diferencia entre un incidente de seguridad menor y un evento generalizado y descontrolado.

Más información

Malware Ursnif