Phần mềm độc hại Ursnif đã trở thành phần mềm độc hại mới nhất bắt nguồn từ một trojan ngân hàng để cải tiến bản thân thành một cửa hậu chung có khả năng cung cấp tải trọng giai đoạn tiếp theo, tham gia cùng những người như Emotet, Qakbot và TrickBot.
"Đây là một sự thay đổi đáng kể so với mục đích ban đầu của phần mềm độc hại là cho phép gian lận ngân hàng, nhưng phù hợp với bối cảnh mối đe dọa rộng lớn hơn," các nhà nghiên cứu Sandor Nemes, Sulian Lebegue và Jessa Valdez của Mandiant tiết lộ trong một phân tích hôm thứ Tư.
Biến thể được làm mới và tái cấu trúc, lần đầu tiên được phát hiện bởi công ty tình báo mối đe dọa thuộc sở hữu của Google trong tự nhiên vào ngày 23 tháng 6 năm , có tên mã là LDR4, trong những gì được coi là một nỗ lực để đặt nền móng cho các hoạt động tống tiền ransomware và đánh cắp dữ liệu tiềm ẩn.
Ursnif, còn được gọi là Gozi hoặc ISFB, là một trong những họ phần mềm độc hại lâu đời nhất, với các cuộc tấn công được ghi nhận sớm nhất từ năm 2007. Check Point, vào tháng 8 năm 2020, đã lập bản đồ "sự tiến hóa khác biệt của Gozi" trong những năm qua, đồng thời chỉ ra lịch sử phát triển rời rạc của nó.
Gần một năm sau vào cuối tháng 6 năm 2021, một diễn viên đe dọa người Romania, Mihai Ionut Paunescu, đã bị các quan chức thực thi pháp luật Colombia bắt giữ vì vai trò của anh ta trong việc truyền bá phần mềm độc hại cho không dưới một triệu máy tính từ năm 2007 đến 2012.
Chuỗi tấn công mới nhất do Mandiant nêu chi tiết cho thấy việc sử dụng mồi email liên quan đến tuyển dụng và hóa đơn làm vectơ xâm nhập ban đầu để tải xuống tài liệu Microsoft Excel, sau đó tìm nạp và khởi chạy phần mềm độc hại.
Việc tân trang chính của Ursnif tránh tất cả các tính năng và mô-đun liên quan đến ngân hàng của nó để chuyển sang truy xuất mô-đun VNC và đạt được một vỏ từ xa vào máy bị xâm nhập, được thực hiện bằng cách kết nối với một máy chủ từ xa để có được các lệnh nói trên.
Các nhà nghiên cứu cho biết: "Những thay đổi này có thể phản ánh sự tập trung ngày càng tăng của các tác nhân đe dọa vào việc tham gia hoặc cho phép các hoạt động của ransomware trong tương lai.