Phishing: cuidado con esta nueva versión de malware troyano.
Malware troyano: Tenga cuidado con esta nueva versión de malware troyano que se propaga a través de documentos de Word maliciosos.
Cuidado con esta nueva versión del malware troyano Phishing
Una nueva versión del troyano Ursnif se envía a través de documentos de Word maliciosos con el objetivo de robar datos bancarios y otras credenciales.
Una nueva variante de malware troyano, muy popular entre los ciberdelincuentes, se está propagando a través de documentos de Word maliciosos con el objetivo de robar datos datos bancarios y otra información personal útil.
O Malware El troyano Ursnif está dirigido a máquinas Windows y ha existido de una forma u otra al menos desde 2007, cuando su código apareció por primera vez en el troyano bancario Gozi.
Ursnif se ha hecho increíblemente popular entre los ciberdelincuentes en los últimos años debido a la filtración de su código fuente en línea, lo que permite a los atacantes aprovecharse de él de forma gratuita.
Variantes del malware troyano
Diferentes variantes de Malware troyano han aparecido desde que se filtró el código. Los atacantes lo utilizan y añaden sus propias funciones personalizadas para robar datos bancarios y otras credenciales de cuentas en línea.
Investigadores de la empresa de ciberseguridad Fortinethan identificado una nueva versión del Ursnif en la naturaleza. Se está propagando a través de correos electrónicos de phishing que contiene documentos Word con armas.
Estos señuelos infectados se nombran con el formato "info_ [fecha] .doc" y afirman que el documento se creó en una versión anterior de Word, lo que obliga al usuario a activar las macros para poder visualizarlo.
Al activar las macros haciendo clic en el comando "Habilitar contenido" se libera el código VBA malicioso. Inicia el proceso de lanzamiento de una versión del malware Ursnif que, según los investigadores, se compiló recientemente, el 25 de julio. Esto indica lo reciente que es el desarrollo de esta última encarnación.
Procesos ejecutados por malware
Una vez instalado en un sistema, el malware ejecutará varios procesos "iexplorer.exe" que aparecen y desaparecen repetidamente.
Este es Ursnif, creando las condiciones necesarias para conectarse a su servidor de comando y control.
En un esfuerzo por hacer la actividad menos sospechosa, la lista de hosts del servidor de C&C incluye referencias a Microsoft y a empresas de seguridad.
Los investigadores advierten de que la campaña sigue activa y han proporcionado una revisión de los Indicadores de Compromiso en el análisis del malware.
Las técnicas de ataque desplegadas en esta última campaña de Ursnif pueden parecer básicas. Incluso los simples ataques de phishing por correo electrónico pueden proporcionar a los hackers medios para entrar en redes o desplegar malware.
