Ursnif - это банковский троянец, который обычно заражает корпоративных жертв. Он основан на старой вредоносной программе, но с годами был существенно обновлен и стал довольно мощным. Сегодня Ursnif - один из самых распространенных банковских троянцев в мире.
Что такое вредоносная программа Ursnif?
Ursnif, также известный как Gozi, является одним из самых распространенных банковских троянов - он нацелен на кражу банковских учетных данных и обычно нацелен на корпоративных жертв. Вредоносная программа была разработана на основе утечки исходного кода довольно старого трояна Gozi-ISFB.
Впервые троян был зарегистрирован в 2014 году, когда произошла утечка кода Gozi-ISFB. С тех пор Ursnif развивался и становился все более мощным, что привело к тому, что сегодня он стал одним из самых популярных банковских троянов.
Общее описание трояна Ursnif
Троян Ursnif - это опасная вредоносная программа, которая может собирать данные о системной активности жертв, записывать нажатия клавиш, отслеживать сетевой трафик и активность браузера. Вредоносная программа сохраняет данные в архиве перед отправкой их на C2.
Для проникновения на компьютер пользователя вредоносная программа использует вредоносные документы Microsoft Office и требует активации макросов. После открытия документ предложит пользователю включить макросы. Если пользователь послушно выполняет инструкцию, вредоносная программа забрасывает VB-скрипт в каталог temp текущего пользователя, после чего он автоматически декодируется и загружается вредоносная полезная нагрузка.
Согласно результатам анализа, некоторые версии Ursnif содержат макрос, запрограммированный на проверку страны с помощью свойства Application. International MS Office. Если результат не соответствует списку предварительно выбранных стран, вредоносная программа завершает свое выполнение.
Интересно, что вредоносная программа прекращает выполнение, если обнаруживает, что она запущена на виртуальной машине. Хакеры применяют эту технику предосторожности для того, чтобы усложнить процесс анализа и, будем надеяться, предотвратить эффективную разработку контрмер.
Как избежать заражения вирусом Ursnif?
Лучший способ обезопасить себя от Ursnif - держать макросы выключенными и не включать их при появлении запроса от файла Microsoft Office, загруженного из ненадежного источника, например, по электронной почте от неизвестного отправителя. Кроме того, следование хорошим методам безопасного пребывания в Интернете, например, не загружать файлы из подозрительных электронных писем, является еще одним отличным способом избежать заражения.
Процесс выполнения Ursnif
Выполнение вредоносной программы начинается, когда пользователь открывает файл Word или Excel и включает макрос. Ursnif использует COM-объект браузера для соединения со своим C2-сервером и получения дополнительных данных.
По результатам анализа, троян Ursnif использует эксплойты для запуска легитимного программного обеспечения, например Outlook, который, в свою очередь, запускает cmd.exe только для того, чтобы породить сценарий PowerShell. Если удар направлен на отдельные страны, вредоносная программа на этом этапе проверяет, откуда родом жертва. Затем сценарий PowerShell загружает и выполняет конечную полезную нагрузку, которой является сам Ursnif. Наконец, загрузчик начинает вредоносную деятельность и внедряет свой код в процесс explorer.exe.
После установки вредоносная программа попытается внедриться в активный процесс explorer.exe, чтобы установить постоянство. Если инъекция не удалась, Ursnif запустит новый процесс svchost.exe и внедрит себя вместо него. эта техника, по-видимому, является полезным указателем для обнаружения. После этого Ursnif подключается к API распространенных веб-браузеров, таких как Chrome, Opera, Internet Explorer и Firefox. Загрузчик использует COM-объект браузера для связи со своим C2-сервером. Затем вредоносная программа начинает отслеживать веб-активность и крадет платежную информацию, как только жертва посещает банковскую или платежную веб-страницу. Затем Ursnif отправляет собранные данные на C2-сервер через COM-объект IE.
Связь с C&C
Чтобы предотвратить раскрытие доменных имен, вредоносная программа генерирует доменные имена локально, используя технику алгоритма Domain Generation Algorithm (DGA), а не жестко кодирует их. Уникально то, что вредоносная программа собирает информацию для генерации доменных имен в процессе DGA, беря биты текста с популярных веб-сайтов. Если расшифровать URL-адрес в сценарии, можно получить данные, отправленные на сервер C2.
Также известно, что вредоносная программа способна выполнять команды, полученные с сервера управления.
Заключение
Основанный на исходном коде другой вредоносной программы, которой уже почти десять лет, Ursnif является ярким примером того, что "старый" не означает неэффективный, когда речь идет о троянах.
Напротив, несмотря на свой возраст, эта вредоносная программа способна проводить разрушительные кибератаки и успела стать одним из самых популярных банковских троянов в мире. Помимо мощного троянского функционала, загрузчик предпринимает активные действия, чтобы помешать исследователям изучить его.