Ursnif 恶意软件(又名 Gozi)的新版本作为通用后门出现,剥离了其典型的银行木马功能。
这一变化可能表明新版本的运营商正专注于分发勒索软件。
事件响应公司Mandiant的研究人员于 2022 年 6 月 23 日发现了代号为“LDR4”的新变体 ,他们认为它是由过去几年维护 RM3 版本恶意软件的同一参与者分发的。
新的 Ursnif 活动
Ursnif LDR4 变种是通过虚假的工作邀请电子邮件发送的,其中包含指向冒充合法公司的网站的链接。
冒充招聘人员的策略对于 Ursnif 团伙来说并不新鲜,他们以前也使用过这种策略。
恶意站点的访问者被要求解决验证码挑战,以下载包含从远程资源获取恶意软件有效负载的宏代码的 Excel 文档。
LDR4 变体以 DLL 形式出现(“loader.dll”),由可移植的可执行加密器打包并使用有效证书进行签名。这有助于它逃避系统上安全工具的检测。
Mandiant 分析 LDR4 的分析师注意到,所有银行功能都已从新的 Ursnif 变体中删除,并且其代码已被清理和简化。
后门时代
执行后,新的 Ursnif 从 Windows 注册表收集系统服务数据并生成用户和系统 ID。
接下来,它使用配置文件中可用的 RSA 密钥连接到命令和控制服务器。然后它尝试检索要在主机上执行的命令列表。
LDR4 变体支持的命令如下:
- 将 DLL 模块加载到当前进程中
- 检索 cmd.exe 反向 shell 的状态
- 启动 cmd.exe 反向shell
- 停止 cmd.exe 反向 shell
- 重启 cmd.exe 反向shell
- 运行任意命令
- 终止
使用远程 IP 地址建立反向 shell 的内置命令 shell 系统并不新鲜,但现在它被嵌入到恶意软件二进制文件中,而不是像以前的变体那样使用额外的模块。
插件系统也已被淘汰,因为将 DLL 模块加载到当前进程中的命令可以根据需要扩展恶意软件的功能。
Mandiant 看到的一个例子是 VNC(虚拟网络计算)模块(“vnc64_1.dll”),它使 LDR4 能够对受感染的系统执行“动手”攻击。
在最新版本中,Ursnif LDR4 运营商似乎已针对更具体的任务改进了代码,即为其他恶意软件打开大门的初始妥协工具。
Mandiant 指出,勒索软件操作很可能是开发人员前进的方向,因为研究人员在一个地下黑客社区中发现,一个威胁行为者正在寻找合作伙伴来分发勒索软件和 RM3 版本的 Ursnif。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Ursnif恶意软件从银行账户盗窃切换到初始访问
