Ursnif - malware powraca w nowej kampanii
Sprawdź darmową edukację z cyberbezpieczeństwa ↓

Ursnif - malware powraca w nowej kampanii

Ursnif (malware znane również jako Gozi/Gozi ISFB) pojawił się ponownie. Tym razem pozbawiony pierwotnej funkcjonalności trojana bankowego.

Ursnif (malware znane również jako Gozi/Gozi ISFB) pojawił się ponownie. Tym razem jako backdoor, pozbawiony pierwotnej funkcjonalności trojana bankowego. Badacze wskazują, że operatorzy nowej wersji koncentrują się tym razem na dystrybucji ransomware. Czy jest się czego bać?  

Jak zmieniał się Ursnif

Ursnif jest jedną z najstarszych, wciąż aktywnych rodzin malware. W krajobrazie zagrożeń pojawił się w 2007 r., zaś prawdziwą popularność zyskał w 2014 r., kiedy to wyciekł jego kod źródłowy. Sytuacja ta pozwoliła cyberprzestępcom na opracowywanie własnych wersji oprogramowania.  Jego nowy wariant o nazwie kodowej LDR4 zaobserwowali w czerwcu 2022 r. badacze z firmy Mandiant. Tym razem twórcy całkowicie usunęli funkcjonalności bankowe, a działania malware opierają się na rozpowszechnianiu złośliwych ładunków i kradzieży danych. Według specjalistów za dystrybucję trojana odpowiada ta sama grupa, która przez ostatnie lata zajmowała się rozprowadzaniem Ursnifa w poprzedniej wersji RM3.

"Biorąc pod uwagę odniesiony sukces i wyrafinowanie, jakim wcześniej wykazywał się RM3, LDR4 może być znacznie bardziej niebezpiecznym wariantem, zdolnym do rozpowszechniania oprogramowania ransomware." -twierdzi Mandiant.
Warianty Ursnif na przestrzeni lat. Źródło: Mandiant

Nowa kampania

Badacze zauważyli, że cyberprzestępcy dystrybuują wersję LDR4 za pośrednictwem fałszywych, phishingowych wiadomości e-mail, w których podszywają się pod head-hunterów/działy HR. E-mail zachęca do przejścia na zhakowaną witrynę internetową, która z kolei przekierowuje do domeny podszywającej się pod istniejącą firmę.  Taktyka ta nie jest niczym nowym, ponieważ Ursnif już we wcześniejszych wersjach stosował podobną strategię.
Źródło: Mandiant

Następnie, po trafieniu na witrynę mamy możliwość pobrania dokumentu Excel z "dodatkowymi informacjami". Plik XLSM oczywiście jest zainfekowany, co oznacza, że przy włączonych makrach pakietu Office rozpoczyna się pobieranie złośliwego oprogramowania.
Złośliwy plik XLSM. Źródło: Mandiant

Wariant LDR4 ma postać DLL ( loader.dll). Ponadto plik binarny niejednokrotnie jest podpisany ważnymi certyfikatami. To z kolei umożliwia uniknięcie wykrycia przez narzędzia bezpieczeństwa w systemie ofiary.

Era backdoorów

Po uruchomieniu LDR4 pobiera z rejestru Windows dane o usługach systemowych oraz generuje identyfikator użytkownika i systemu. W następnej kolejności za pomocą klucza RSA dostępnego w pliku konfiguracyjnym łączy się z serwerem dowodzenia i kontroli. Stamtąd zaś próbuje pobrać listę poleceń do wykonania na zainfekowanym hoście.

Najnowsza wersja malware posiada wbudowany wiersz poleceń, przez który ustanawiany jest reverse shellłączący się ze zdalnym adresem IP. Powłoka ta pozwala atakującym na wykonywanie poleceń systemowych za pośrednictwem programu cmd.exe.

Poprzednie warianty URSNIF umożliwiały rozszerzenie możliwości malware za pomocą różnych wtyczek ładowanych za pomocą polecenia LOAD_PLUGIN.Autorzy LDR4 wyeliminowali system wtyczek. Mandiant zaobserwował co najmniej jeden przypadek pobrania modułu VNC (virtual network computing) za pomocą polecenia LOAD_DLL. Polecenie to pozwala zatem na prostsze rozszerzanie funkcji trojana za pomocą dowolnych modułów DLL.

Naukowcy podsumowują swój raport stwierdzeniem, że Ursnif zdaje się podążać tą samą ścieżką, co wcześniej EMOTET TRICKBOT , które także porzuciły funkcje związane z oszustwami bankowymi i skupiły się na nowych strategiach.  Mandiant zauważa również, że ​​najprawdopodobniej zmiany te spowodowane są faktem, iż cyberprzestępcy coraz częściej skoncentrowani są na działaniach w operacjach ransomware.


Źródło: BleepingComputer, Mandiant


 

Oceń blog:
Czas czytania: 5 min
Data: 21.10.2022

Terminarz

prev

next

Lista najbliższych webinariów

24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
20.10.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Polskie szpitale vs ransomware - co się stało w marcu 2026? Zabezpieczenia Sieci

Polskie szpitale vs ransomware - co się stało w marcu 2026?

Czytaj więcej
Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Czytaj więcej
Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome Microsoft

Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome

Czytaj więcej
Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Czytaj więcej
Czym jest Ransomeware as a Service?

Czym jest Ransomeware as a Service?

Czytaj więcej