Los investigadores de
CSE Cybsec ZLab estudian una nueva variante de Ursnif que apunta a compañías
italianas utilizando documentos de Microsoft Word especialmente manipulados.
Ya hablamos en su
momento de Ursnif, un viejo conocido entre la comunidad de analistas de
malware. Fue uno de los bankers más prolíficos de los dos últimos años y afectó
a usuarios de distintas partes del mundo: Japón, Norte América, Europa y
Australia fueron las zonas más afectadas. El malware, activo desde 2009 ha
evolucionado en distintas variantes para adaptarse a los mecanismos que tratan
de impedir la amenaza.
Recientemente se ha
encontrado una nueva variante que utiliza técnicas de ingeniería social y
documentos de Microsoft Word modificados para infectar a las víctimas.
El proceso de
infección comienza con un correo dirigido a la víctima con un documento de Word
adjunto.
El documento de Word
muestra un phishing que intenta convencer a la víctima de que habilite las
macros para poder ver correctamente el contenido del documento.
Phishing en el
documento de Word. Fuente: http://csecybsec.com
Una vez permitida la
ejecución de macros, el malware ya puede infectar la máquina y propagarse. Para
ello ejecuta un payload que descargará del servidor de C&C. El cual
instalará el binario malicioso en el sistema y descargará otro (cmiftall.exe)
que implementará la persistencia, añadiendo una entrada maliciosa al registro
de Windows. Además, el malware se intentará propagar enviando el correo con el
adjunto malicioso a los contactos de la víctima.
Como decíamos la
campaña está dirigida a usuarios italianos. El correo se presenta escrito en
este idioma, con faltas de ortografía y un documento de Microsoft Word adjunto.
Algunas muestras encontradas nombraban a estos ficheros como:
- ComunediVALDELLATORRE_Richiesta.doc
- IV_Richiesta.doc
- OrdineDeiGiornalisti_Richiesta.doc
- WSGgroup_Richiesta.doc
- CB_Richiesta.doc
Algunos IOCs
compartidos por CSE Cybsec son:
Dominios
·
qwdqwdqwd19
.com
·
g94q1w8dqw
.com
·
vqubwduhbsd
.com
·
fq1qwd8qwd4
.com
·
wdq9d5q18wd
.com
·
qwd1q6w1dq6wd1
.com
·
qw8e78qw7e
.com
·
qwdohqwnduasndwjd212
.com
IPs
-
23.227.201.166
-
172.106.170.85
-
89.37.226.117
-
86.105.1.131
-
62.113.238.147
-
89.37.226.156
-
198.55.107.164
Emails
·
whois-protect@hotmail.com
·
zhejiangshangbang@qq.com
Hashes
-
C97E623145F7B44497B31EF31A39EFED
-
B48F658DBD0EF764778F953E788D38C9
-
6F571B39FCDE69100EB7AEC3C0DB0A98
-
29CA7312B356531F9A7A4C1C8D164BDD
-
535A4EBB8AEF4C3F18D9B68331F4B964
-
347CE248B44F2B26ADC600356B6E9034
-
3C301FF033CB3F1AF0652579AD5BC859
-
716D8D952102F313F65436DCB89E90AE
-
FD26B4B73E73153F934E3535A42B7A16
Recomendación
- Como siempre, se recomienda no abrir correos con adjuntos no solicitados.
Más información:
-
A
new variant of Ursnif Banking Trojan served by the Necurs botnet hits Italy: http://csecybsec.com/download/zlab/20180621_CSE_Ursnif-Necurs_report.pdf
Fuente: Hispasec