Nueva variante de Ursnif ataca a entidades italianas

Los investigadores de CSE Cybsec ZLab estudian una nueva variante de Ursnif que apunta a compañías italianas utilizando documentos de Microsoft Word especialmente manipulados.

Ya hablamos en su momento de Ursnif, un viejo conocido entre la comunidad de analistas de malware. Fue uno de los bankers más prolíficos de los dos últimos años y afectó a usuarios de distintas partes del mundo: Japón, Norte América, Europa y Australia fueron las zonas más afectadas. El malware, activo desde 2009 ha evolucionado en distintas variantes para adaptarse a los mecanismos que tratan de impedir la amenaza.

Recientemente se ha encontrado una nueva variante que utiliza técnicas de ingeniería social y documentos de Microsoft Word modificados para infectar a las víctimas.

El proceso de infección comienza con un correo dirigido a la víctima con un documento de Word adjunto.

El documento de Word muestra un phishing que intenta convencer a la víctima de que habilite las macros para poder ver correctamente el contenido del documento.

Phishing en el documento de Word. Fuente: http://csecybsec.com

Una vez permitida la ejecución de macros, el malware ya puede infectar la máquina y propagarse. Para ello ejecuta un payload que descargará del servidor de C&C. El cual instalará el binario malicioso en el sistema y descargará otro (cmiftall.exe) que implementará la persistencia, añadiendo una entrada maliciosa al registro de Windows. Además, el malware se intentará propagar enviando el correo con el adjunto malicioso a los contactos de la víctima.

Como decíamos la campaña está dirigida a usuarios italianos. El correo se presenta escrito en este idioma, con faltas de ortografía y un documento de Microsoft Word adjunto. Algunas muestras encontradas nombraban a estos ficheros como:

• ComunediVALDELLATORRE_Richiesta.doc
• IV_Richiesta.doc
• OrdineDeiGiornalisti_Richiesta.doc
• WSGgroup_Richiesta.doc
• CB_Richiesta.doc

Algunos IOCs compartidos por CSE Cybsec son:

Dominios

·        qwdqwdqwd19 .com

·        g94q1w8dqw .com

·        vqubwduhbsd .com

·        fq1qwd8qwd4 .com

·        wdq9d5q18wd .com

·        qwd1q6w1dq6wd1 .com

·        qw8e78qw7e .com

·        qwdohqwnduasndwjd212 .com

IPs

-        23.227.201.166

-        172.106.170.85

-        89.37.226.117

-        86.105.1.131

-        62.113.238.147

-        89.37.226.156

-        198.55.107.164

Emails

·        whois-protect@hotmail.com

·        zhejiangshangbang@qq.com

Hashes

-        C97E623145F7B44497B31EF31A39EFED

-        B48F658DBD0EF764778F953E788D38C9

-        6F571B39FCDE69100EB7AEC3C0DB0A98

-        29CA7312B356531F9A7A4C1C8D164BDD

-        535A4EBB8AEF4C3F18D9B68331F4B964

-        347CE248B44F2B26ADC600356B6E9034

-        3C301FF033CB3F1AF0652579AD5BC859

-        716D8D952102F313F65436DCB89E90AE

-        FD26B4B73E73153F934E3535A42B7A16

Recomendación

• Como siempre, se  recomienda no abrir correos con adjuntos no solicitados.

Más información:

-        A new variant of Ursnif Banking Trojan served by the Necurs botnet hits Italy: http://csecybsec.com/download/zlab/20180621_CSE_Ursnif-Necurs_report.pdf

Fuente: Hispasec