Trojan Ursnif: cómo funciona y la evolución que ha tenido

| |

Describimos Trojan Ursnif: cómo funciona y la evolución que ha tenido, ya que ha sido una amenaza constante y persistente.

Trojan Ursnif: qué es

Se trata de un malware o también conocido como troyano bancario Ursnif que afecta especialmente a computadoras de Windows para robar información financiera esencial, credenciales de correo electrónico y otros datos sensibles.

Generalmente se distribuye mediante campañas de spam maliciosas utilizando para ello archivos adjuntos de Word o Excel.

De acuerdo con el especialista de seguridad digital, Avast, es un malware avanzado que deja muy poca marca en el sistema, un ejemplo del llamado «malware sin archivos».

Cómo funciona Trojan Ursnif

A diferencia de otros troyanos, Ursnif se instala después de descargar una puerta trasera, una apertura para que los usuarios no autorizados eludan las medidas de seguridad normales y obtengan acceso de usuario de alto nivel en un sistema informático, red o aplicación de software.

Este malware tiene que recibir información de su comando y control (C&C) antes de que esté activo y puede esconderse silenciosamente durante horas hasta que finalmente comienza su actividad maliciosa.

Ursnif puede robar más que información bancaria, también puede acceder a ciertos correos electrónicos y navegadores, así como infiltrarse en carteras de criptomonedas.

“Estas técnicas de ocultación que se utilizan para eludir las soluciones de seguridad son muy creativas y podrían ser efectivas contra quienes no tienen capas de seguridad avanzadas, como escudos de comportamiento”, señala Michal Salat, director de inteligencia de amenazas en Avast.

“Sin embargo, este ataque también ilustra que el eslabón más débil de la cadena es el usuario. Malwares como Ursnif se propagan más comúnmente a través de enlaces y archivos adjuntos maliciosos”, explica.

Detalles técnicos

Comportamiento

Con su ejecución, Ursnif comprueba la presencia de entornos virtuales; si se encuentra, mostrará un cuadro de mensaje de alerta falso con el texto «Error al inicializar la aplicación cliente».

También realiza el proceso de vaciado en svchost.exe o explorer.exe e inyecta un archivo dll (client.dll) basado en el entorno del sistema.

Archivos agregados
  • Se autocopia en «% appdata% \ [Random_Folder] \ [Dropped_Filename] .exe» donde «Dropped_Filename» es una combinación de cadenas de% system32% nombres de archivo de directorio.
  • Crea un archivo por lotes en «% temp% \ [Random_Folder] \ [Random_File] .bat» para ejecutarse y autoborrarse.
  • Genera un archivo de almacenamiento en% temp% \ [Random_Hex] .bin para almacenar los datos robados. Los datos robados se registran en formato de archivo cab, que se crea al ejecutar makecab.exe.

El archivo de almacenamiento contiene:

  • Controladores de dispositivo instalados: recopilados ejecutando driverquery.exe
  • Programas instalados: recopilados ejecutando reg.exe «HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall»
  • Información del sistema basada en la ejecución de systeminfo.exe
  • Proceso en ejecución actual: recopilado mediante la ejecución de tasklist.exe / SVC
Trojan 1024x584 - Trojan Ursnif: cómo funciona y la evolución que ha tenido
Representación de Trojan Ursnif

Cómo ha evolucionado y países que registran más impacto de Ursnif

Ursnif se ha dirigido a usuarios en muchos países de todo el mundo a lo largo de los años, a menudo se ha extendido mediante señuelos de correo electrónico en idiomas nativos.

Entre los países en los que Ursnif ha impactado significativamente está Italia, según Avast.

Al analizar la información, los investigadores encontraron información que podría usarse para ayudar a proteger a las víctimas pasadas y actuales de Ursnif.

Específicamente, encontraron nombres de usuario, contraseñas, tarjetas de crédito, información bancaria y de pago que parece haber sido robada a las víctimas de Ursnif por los operadores de malware.

Se encontraron evidencias de más de 100 bancos italianos atacados en la información que se obtuvo. También Avast detectó aproximadamente mil 700 credenciales robadas por un procesador de pagos.

El equipo de investigación ha tomado esta información y la ha compartido con los procesadores de pagos y los bancos que pudieron identificar.

También se compartió esto con grupos de intercambio de información de servicios financieros como CERTFin en Italia. Con esta información, estas empresas e instituciones están tomando medidas para proteger a sus clientes y ayudarlos a recuperarse del impacto de Ursnif.

Trojan 2 1024x586 - Trojan Ursnif: cómo funciona y la evolución que ha tenido
Trojan Ursnif

Cómo evitar que se instalen este programa malicioso

De acuerdo con el equipo de Avast la lección es evitar los archivos adjuntos y nunca hacer clic en enlaces en correos electrónicos donde no conocemos al remitente.

“E incluso si cometemos el error de abrir el documento, simplemente no activar macros desde el documento nos salvará”, recomiendan.

Además, especialistas recomiendan mantener actualizadas las aplicaciones instaladas y el sistema operativo. Para lograr esto, se pueden usar las funciones integradas o herramientas facilitadas solamente por el desarrollador oficial.

Es importante contar con una solución fiable antivirus o antiespía; este software probablemente detecta y elimina software malicioso antes de que lleve a cabo una acción.

Si se piensa que el equipo está infectado, se aconseja ejecutar un análisis con Malwarebytes para eliminar el malware de forma automática.

Leíste: Trojan Ursnif: cómo funciona y la evolución que ha tenido, te recomendamos: Malware: qué es, ejemplos y cómo protegerse

Síguenos en nuestras redes sociales:

Twitter

Facebook

Youtube

Previous

Oneplus y Pubg Mobile forman alianza en México

WhatsApp Business API: cómo funciona y aplicaciones en negocios

Next