发布于2022年10月21日3年前 Ursnif 恶意软件已成为最新的恶意软件,它摆脱了作为银行木马的根源,将自身改造为能够提供下一阶段有效负载的通用后门,加入 Emotet、Qakbot 和 TrickBot 之类的行列。 Mandiant 研究人员 Sandor Nemes、Sulian Lebegue 和 Jessa Valdez在周三的分析中透露:“这是恶意软件最初的目的是实现银行欺诈的重大转变,但与更广泛的威胁格局一致。” 2022 年 6 月 23 日,谷歌旗下的威胁情报公司首次在野外发现了经过更新和重构的变体,代号为 LDR4,这被视为试图为潜在的勒索软件和数据盗窃勒索行动奠定基础。 Ursnif,也称为 Gozi 或 ISFB,是最古老的银行家恶意软件家族之一,最早记录的攻击可以追溯到 2007 年。Check Point 于 2020 年 8 月绘制了多年来“ Gozi 的不同演变”的地图,同时指出出其支离破碎的发展历程。 将近一年后的 2021 年 6 月下旬,罗马尼亚的威胁行为者 Mihai Ionut Paunescu因在 2007 年至 2012 年期间将恶意软件传播到不少于一百万台计算机而被哥伦比亚执法官员逮捕。 Mandiant 详细介绍的最新攻击链展示了使用招聘和发票相关的电子邮件诱饵作为初始入侵媒介来下载 Microsoft Excel 文档,然后获取并启动恶意软件。 Ursnif 的重大翻新避开了其所有与银行相关的功能和模块,转而检索VNC 模块并在受感染机器中获取远程 shell,这是通过连接到远程服务器以获取所述命令来执行的。 研究人员说:“这些转变可能反映了威胁行为者未来越来越关注参与或启用勒索软件操作。”
