UNO DE LOS TROYANOS BANCARIOS MAS POPULARES HA SIDO REDISEÑADO CON UN BACKDOOR GENERICO

Uno de los programas maliciosos de fraude bancario más antiguos y más difundidos, URSNIF, ha sido rediseñado en una puerta trasera genérica que podría convertirse en un elemento básico para los actores de ransomware, según una nueva investigación de Mandiant.

URSNIF, también conocido como Gozi o ISFB, es un troyano bancario de alto riesgo que roba información del sistema, registra datos de pulsaciones de teclas y realiza un seguimiento de la actividad de la red y del navegador. Han surgido múltiples variantes del malware, incluidos Dreambot, IAP, RM2 y RM3, desde que se filtró su código fuente en 2016. Pero los investigadores notaron que esta variante más nueva LDR4, que se descubrió por primera vez en junio, difiere de iteraciones anteriores y “marca un hito importante para la herramienta.”

“Este es un cambio significativo del propósito original del malware para permitir el fraude bancario, pero es consistente con el panorama de amenazas más amplio”, escribieron los investigadores de Mandiant Sandor Nemes, Sulian Lebegue y Jessa Valdez en una publicación de blog el miércoles . “Dado el éxito y la sofisticación que tuvo RM3 anteriormente, LDR4 podría ser una variante significativamente peligrosa, capaz de distribuir ransomware, que debe vigilarse de cerca”.

Los investigadores notaron que el cambio más notable es que la nueva puerta trasera aplicó una nueva estrategia y eliminó sus características de fraude bancario, similar a lo que hicieron EMOTET y TRICKBOT en el pasado. LDR4 ahora se está enfocando en obtener VNC y shells remotos en la máquina comprometida.

Al igual que la distribución de RM3 informada en abril de 2021, LDR4 se descubrió por primera vez en un correo electrónico malicioso con un señuelo relacionado con el reclutamiento. El correo electrónico redirige a los usuarios a un sitio web comprometido y presenta un desafío CAPTCHA para descargar un documento de Microsoft Excel, que luego obtiene y ejecuta el malware.

Sin embargo, la puerta trasera abandona el formato ejecutable PX personalizado que introdujo RM3 por primera vez. Los investigadores creen que la decisión se tomó para simplificar la resolución de problemas de software.

Además, el formato PX ahora puede ser detectado por antivirus y productos de detección y respuesta de punto final. “Desde la perspectiva del atacante, invertir en un producto que todos saben cómo detectar no es un uso muy eficiente de los recursos”, agregaron los investigadores.

“También es plausible que el aumento de la competencia en el mercado de otros operadores de malware, como IcedID, haya llevado a los autores de LRD4 a buscar formas de reducir la complejidad del malware y dificultar los esfuerzos de detección”, Jeremy Kennelly, gerente sénior de análisis de delitos financieros en Mandiant. , le dijo a SC Media en un correo electrónico.

Kennelly señaló que los cambios históricos de LDR4 pueden resaltar un enfoque cada vez mayor de los actores de amenazas para participar o habilitar operaciones de ransomware en el futuro.

“Las operaciones de ransomware, ya sea implementando el ransomware u ofreciendo servicios creados para habilitar la distribución de ransomware, continúan siendo muy lucrativas para los actores de amenazas involucrados. Y anticipamos que esta nueva variante se creó para abrir nuevas fuentes de ingresos para los autores”, dijo Kennelly.

Según el conjunto de datos actual de Mandiant, los investigadores han observado LDR4 en toda Europa, incluidos el Reino Unido y Australia, que se vieron afectados por iteraciones anteriores. Mandiant no tiene suficientes datos para evaluar si la nueva variante se está implementando en industrias específicas.

Fuente: SCMAGAZINE