最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Ursnif恶意软件从银行账户盗窃切换到初始访问

网络安全 快米云 来源:快米云 77浏览

Ursnif 恶意软件从银行账户盗窃切换到初始访问

Ursnif 恶意软件(又名 Gozi)的新版本作为通用后门出现,剥离了其典型的银行木马功能。

这一变化可能表明新版本的运营商正专注于分发勒索软件。

事件响应公司Mandiant的研究人员于 2022 年 6 月 23 日发现了代号为“LDR4”的新变体 ,他们认为它是由过去几年维护 RM3 版本恶意软件的同一参与者分发的。

多年来出现的各种 Ursnif 变种
多年来出现的各种 Ursnif 变种 (Mandiant)

新的 Ursnif 活动

Ursnif LDR4 变种是通过虚假的工作邀请电子邮件发送的,其中包含指向冒充合法公司的网站的链接。

冒充招聘人员的策略对于 Ursnif 团伙来说并不新鲜,他们以前也使用过这种策略

恶意站点的访问者被要求解决验证码挑战,以下载包含从远程资源获取恶意软件有效负载的宏代码的 Excel 文档。

当前活动中使用的恶意 Excel 文档
当前活动中使用的恶意 Excel 文档 (Mandiant)

LDR4 变体以 DLL 形式出现(“loader.dll”),由可移植的可执行加密器打包并使用有效证书进行签名。这有助于它逃避系统上安全工具的检测。

Mandiant 分析 LDR4 的分析师注意到,所有银行功能都已从新的 Ursnif 变体中删除,并且其代码已被清理和简化。

后门时代

执行后,新的 Ursnif 从 Windows 注册表收集系统服务数据并生成用户和系统 ID。

接下来,它使用配置文件中可用的 RSA 密钥连接到命令和控制服务器。然后它尝试检索要在主机上执行的命令列表。

Ursnif 发送到 C2 服务器的心跳
Ursnif 向 C2 服务器发送的 POST 请求 (Mandiant)

LDR4 变体支持的命令如下:

  • 将 DLL 模块加载到当前进程中
  • 检索 cmd.exe 反向 shell 的状态
  • 启动 cmd.exe 反向shell
  • 停止 cmd.exe 反向 shell
  • 重启 cmd.exe 反向shell
  • 运行任意命令
  • 终止

    使用远程 IP 地址建立反向 shell 的内置命令 shell 系统并不新鲜,但现在它被嵌入到恶意软件二进制文件中,而不是像以前的变体那样使用额外的模块。

    插件系统也已被淘汰,因为将 DLL 模块加载到当前进程中的命令可以根据需要扩展恶意软件的功能。

    Mandiant 看到的一个例子是 VNC(虚拟网络计算)模块(“vnc64_1.dll”),它使 LDR4 能够对受感染的系统执行“动手”攻击。

    在最新版本中,Ursnif LDR4 运营商似乎已针对更具体的任务改进了代码,即为其他恶意软件打开大门的初始妥协工具。

    Mandiant 指出,勒索软件操作很可能是开发人员前进的方向,因为研究人员在一个地下黑客社区中发现,一个威胁行为者正在寻找合作伙伴来分发勒索软件和 RM3 版本的 Ursnif。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Ursnif恶意软件从银行账户盗窃切换到初始访问