.
O URSNIF, o malware também conhecido como Gozi que tenta roubar credenciais bancárias online dos PCs com Windows das vítimas, está evoluindo para oferecer suporte ao extortionware.
Como um dos trojans bancários mais antigos – que remonta a meados dos anos 2000 – o software desagradável tem várias variantes e recebeu alguns apelidos, incluindo URSNIF, Gozi e ISFB. Ele se cruzou com outras famílias de malware, teve seu código-fonte vazado duas vezes desde 2016 e, de acordo com Mandiant, agora é menos uma única família de malware do que um “conjunto de irmãos relacionados”.
Também viu seus supostos mentores serem levados aos tribunais dos EUA. O último deles foi extraditado este ano da Colômbia, para onde fugiu após ser libertado sob fiança após sua prisão na Romênia em 2012.
Quem ainda está por trás do URSNIF está seguindo o caminho usado por desenvolvedores de outras famílias de malware, como Emote, TrickBote Qakbot, que abandonaram seu passado de roubo de informações bancárias para se tornar backdoors em máquinas infectadas que podem ser usadas por criminosos para entregar ransomware e cargas úteis de roubo de dados.
Em um relatório esta semana, os pesquisadores da Mandiant Sandor Nemes, Sulian Lebegue e Jessa Valdez escreveram que uma variedade da versão RM3 da URSNIF não é mais um trojan bancário, mas um backdoor genérico, semelhante ao de curta duração Saigão variante.
Esse backdoor pode ser usado para executar ransomware, exfiltração de dados e outras porcarias horríveis em computadores comprometidos.
“Esta é uma mudança significativa em relação ao propósito original do malware de permitir fraude bancária, mas é consistente com o cenário de ameaças mais amplo”, escreveram os pesquisadores, acrescentando que acreditam que “os mesmos agentes de ameaças que operaram a variante RM3 do URSNIF provavelmente estão por trás do [the] LDR4 [variant]. Dado o sucesso e sofisticação que o RM3 teve anteriormente, o LDR4 pode ser uma variante significativamente perigosa – capaz de distribuir ransomware – que deve ser observada de perto.”
Ransomware – e agora extorsão de dados, onde os invasores roubam arquivos das vítimas e ameaçam vazá-los se o dinheiro exigido não for pago – está em toda parte agora. Empresa de inteligência de ameaças Intel 471 identificado mais de 1.500 infecções de ransomware apenas nos primeiros três trimestres deste ano.
Um ataque de ransomware pode custar milhões de dólares às empresas e suas seguradoras, portanto, não é de surpreender que as equipes de crimes cibernéticos estabelecidas se movam nessa direção. A URSNIF, com sua última variante LDR4, parece estar fazendo exatamente isso.
A Mandiant detectou o LDR4 pela primeira vez em 23 de junho depois de analisar um e-mail suspeito que se assemelhava às mensagens usadas pelo RM3 um ano antes. No e-mail há um link para um site malicioso que redireciona a vítima para um site feito para parecer um negócio legítimo, completo com um CAPTCHA desafio para baixar um documento do Microsoft Excel supostamente relacionado ao conteúdo do e-mail. Se o e-mail for sobre uma oferta de emprego, diz-se que o documento contém informações sobre isso.
Clicar no documento leva ao download e execução do payload LDR4, uma vez que a marca segue as instruções dadas para executar macros dentro do arquivo.
“Uma das coisas mais notáveis durante a análise foi que os desenvolvedores simplificaram e limparam várias partes do código, em comparação com as variantes anteriores”, escreveram os pesquisadores. “Mais notavelmente, seus recursos bancários foram totalmente descartados.”
O URSNIF, em sua época como um malware bancário, causou muitos problemas para instituições de serviços financeiros e seus clientes. Ao extraditar para a América Mihai Ionut Paunescu, um romeno de 37 anos acusado de criar a URSNIF, autoridades policiais dos EUA disseram que o malware infectou mais de um milhão de computadores Windows em todo o mundo, inclusive nos Estados Unidos. Eles estimaram que isso causou dezenas de milhões de dólares em perdas para agências governamentais, organizações e indivíduos.
Usuários de PC em países como Alemanha, Grã-Bretanha, Polônia, Itália e Turquia também foram atingidos pelo malware, que pode registrar as teclas digitadas pela vítima e roubar credenciais para acessar suas contas bancárias online.
No entanto, em 2020, a variante RM3 começou a ter problemas. A distribuição e os back-ends, principalmente na Europa, entraram em colapso e não conseguiram aproveitar as interrupções sofridas pelo TrickBot e pelo Emotet para aumentar seu uso.
“Um dos maiores vencedores disso foi a família de malware ICEDID, que conseguiu alavancar a concorrência cada vez menor no cenário de malware bancário, colocando o RM3 em uma posição difícil”, escreveu a equipe da Mandiant, acrescentando que era incomum para a variante ISFB da URSNIF – que gerou outras variantes, incluindo RM3 – para parar de receber atualizações após junho de 2020.
“Alguns pesquisadores levantaram a hipótese de que a única maneira de esse malware bancário retornar era fazer uma grande reforma de seu código”.
O passo final na queda do RM3 foi a Microsoft em junho removendo Internet Explorer do Windows. A variante dependia desse navegador para sua comunicação de rede.
Os analistas da Mandiant chamaram o LDR4 de uma “mistura de refatoração de código, regressões e estratégias interessantes de simplificação”. Ele não usa mais o formato executável PX personalizado que veio primeiro com o RM3, e uma ferramenta de esteganografia chamada FJ.exe que foi usada no ISFB para ocultar vários arquivos em uma única carga desapareceu ou foi retrabalhada.
Depois, há a migração para a nova estratégia – de fraude bancária para ser o backdoor de outros malwares.
“O fim da variante RM3 no início deste ano e as decisões dos autores de fazer grandes simplificações em seu código, incluindo a remoção de todos os recursos relacionados a bancos, apontam para uma mudança drástica em seus TTPs observados anteriormente. [tactics, techniques, and procedures]”, escreveu a equipe.
“Essas mudanças podem refletir o aumento do foco dos agentes de ameaças em participar ou habilitar operações de ransomware no futuro”.
Isso foi confirmado quando os analistas da Mandiant viram um cibercriminoso em comunidades clandestinas este ano procurando parceiros para distribuir novo ransomware e a variante RM3, que é semelhante ao LDR4. ®
.
