Trojan Ursnif adota nova técnica de injeção de código

Hackers estão testando uma nova variação do Trojan Ursnif destinado a clientes de bancos australianos, utilizando novas técnicas de injeção de código.

Desde o verão de 2017, os pesquisadores da IBM X-Force relatam que as amostras da Ursnif (ou Gozi) foram testadas em “estado selvagem” por um novo desenvolvedor de malware. As amostras são uma atualização notável das versões anteriores.

“Essa descoberta é significativa porque sugere que um novo grupo tenha se juntado a arena do cibercrime e está operando especificamente na Austrália, onde os grupos de malware, como o TrickBot e Dridex, já possuem uma posição firme”, escreveu Limor Kessem, consultor de segurança executivo da IBM Security em uma análise técnica da amostra do Trojan Ursnif.

Mais notável para esta variante são as modificações nas técnicas de injeção de código e estratégias de ataque, disse Kessem.

“Em um ataque de redirecionamento, a vítima é desviada para um site falso hospedado em um servidor controlado pelo atacante. O malware mantém uma conexão ao vivo com a página da web legítima do banco para garantir que sua URL e certificado digital genuínos apareçam na barra de endereços da vítima. Nesse ponto, os atores maliciosos podem usar web injections para roubar credenciais de login, códigos de autenticação e outras informações de identificação pessoal sem esbarrar nos mecanismos de detecção de fraude do banco”, ela escreveu.

Separadamente, pesquisadores da FireEye observaram, na pesquisa publicada na semana passada, que também acompanharam a mesma nova variante do Ursnif.

FireEye também observou o uso inovador da variante de uma técnica de callback malicioso Thread Local Storage (TLS) para alcançar a injeção do processo.

“Recentemente, encontramos um exemplo de Ursnif/Gozi-ISFB que manipulava os callbacks TLS enquanto injetava em um processo filho. Embora muitos dos binários de malware (ou seus packers) usem alguma variação das funções da API do Windows GetThreadContext/SetThreadContext ou CreateRemoteThread para alterar o ponto de entrada do processo remoto durante a injeção, essa amostra (e o cluster relacionado) está usando uma técnica de sigilo relativamente menos conhecida”, escreveu Abhay Vaish e Sandor Nemes com a equipe da FireEye’s Threat Research.

Trojan Ursnif: afinal, desde quando?

Durante anos, o Ursnif tem atacado o Japão junto com a América do Norte, Europa e Austrália. O Ursnif é uma ameaça generalizada que foi descoberta em 2007. Os alvos originais eram os sistemas de internet bancários em países de língua inglesa. Isso mudou em 2010, quando o código-fonte do Trojan foi vazado acidentalmente. Isso levou ao desenvolvimento do Ursnif v2, que adotou técnicas de web injection e também aproveita um recurso de computação de rede virtual oculta.

Em suas campanhas recentes visando clientes de bancos australianos, o Ursnif vem usando malspam para alcançar suas vítimas. Isso incluiu e-mails com falsas ordens de fornecimento que atraem os destinatários para seguir os links para assinar e revisar documentos eletronicamente.

Gozi Ursnif
Figura 1: Ursnif/Gozi

“Depois de clicar no botão “REVIEW DOCUMENT”, o malware baixa um arquivo ZIP chamado YourMYOBSupply_Order.zip,” descreve FireEye. “O arquivo ZIP contém um arquivo JavaScript malicioso que, quando executado, irá baixar e executar o payload Ursnif/Gozi-ISFB.”

Tanto o FireEye quanto o X-Force disseram que esta última amostra indica que um autor de malware mais sofisticado melhorou o código do Ursnif v3 para ser mais furtivo e evadir a detecção de assinaturas de malware.

Entre 2016 e 2017, a X-Force disse que o Ursnif (ou Gozi) tem sido um top player quando se trata de evolução do código e volumes de ataque.

Em outubro, os atacantes por trás do Ursnif fizeram do Japão um dos principais alvos. Nessas campanhas, os autores por trás do Ursnif não apenas focavam em bancos, mas também em credenciais para webmail local, armazenamento em nuvem, plataformas de exchanges de criptomoedas e sites de comércio eletrônico.

EXTRA: Não deixe de conferir


Publicado originalmente no ThreatPost em 04 de dezembro de 2017.

Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.

Autor: Tom Spring
Tradução por Tiago Souza

Imagem destacada deste post: ThreatPost

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Site Footer