O Trojan Ursnif Evolui para Roubar Dados, Registrar a Atividade do Usuário e Fazer o Download de Malware
Embora seja freqüentemente classificado como um Trojan bancário, os recursos do Ursnif vão muito além do roubo de nomes de usuário e senhas das vítimas para sites bancários. Possui funcionalidade keylogger, pode filtrar todos os tipos de informações confidenciais, capturar capturas de tela e gravar vídeos e também pode ser usado como um downloader para malware adicional. Em suma, o Ursnif (também conhecdo como Gozi) é um malware com vários talentos. É também um dos veteranos em cena.
Existe desde pelo menos 2007 e, embora não haja estatísticas sobre quantas pessoas são afetadas, é provável que o número seja enorme. Também não mostra sinais de desaceleração. Hoje, a Cybereason noticiou uma nova onda de e-mails de spam no Japão carregando o Ursnif. Mas como o Trojan pode sobreviver por tanto tempo e ainda permanecer uma ameaça desagradável?
Dez Anos em Atualizações Dão Mais Poder ao Ursnif
Seu sucesso teria sido impossível sem as inúmeras atualizações que recebeu nos últimos dez anos. Os atores de ameaças adicionaram muitos recursos para tornar o Ursnif o que é hoje e também investiram uma quantidade enorme de tempo e esforço para tornar extremamente difícil detectar e analisar. A última variante examinada pelos pesquisadores da Forcepoint pode servir como testemunho disso.
Ele vem na parte de trás dos e-mails de spam que supostamente carregam algumas informações de pagamento. Um documento do Word protegido por senha é anexado e a senha é colocada no corpo do email.
Surpreendentemente ou não, o anexo não possui macros. Em vez disso, parece haver outros três arquivos DOCX incorporados ao documento que aparentemente contêm mais informações sobre uma transação que a vítima processou (ou está prestes a processar). Claro, isso é apenas um disfarce. Os três arquivos DOCX são na verdade scripts VBS que baixam a carga maliciosa e infectam o computador host com o Ursnif. Todo o processo é um pouco mais complicado do que você imagina.
Depois que o script VBS é executado, ele se conecta a um dos dois locais codificados e baixa uma DLL altamente ofuscada e cheia de código de lixo. A biblioteca é carregada através do rundll32 e, uma vez iniciada, libera outro arquivo DLL. Uma das principais tarefas da segunda DLL é garantir que o malware não esteja sendo analisado.
O Que é Velho Fica Novo Novamente
No passado, Ursnif usou uma variedade de mecanismos anti-análise. No ano passado, por exemplo, os pesquisadores viram a carga incorporada na imagem de um canguru (a campanha, de maneira apropriada, foi destinada a usuários australianos). Eles também viram o Trojan ocioso antes do início da execução, a fim de evitar ambientes sandbox e ferramentas de análise automatizadas. No ano passado, Ursnif estava verificando se existem mais ou menos de 50 processos em execução no sistema host. A idéia por trás disso é que, embora seja mais provável que um PC físico tenha esse número de processos em execução ao mesmo tempo, uma máquina virtual provavelmente será otimizada para lidar com menos tarefas simultaneamente. Como você pode ver, os autores de Ursnif apresentaram algumas técnicas anti-análise bastante inteligentes. Com a versão mais recente, no entanto, eles realmente se superaram.
Quando a segunda DLL é carregada, ela monitora o movimento do mouse. Com isso, acredite ou não, o malware tenta evitar a análise.
A lógica por trás disso é que, quando os pesquisadores colocam a amostra em uma máquina virtual e tentam analisá-la, é provável que simplesmente deixem o mouse em paz e esperem que algo aconteça. Por outro lado, uma vítima desavisada provavelmente continuará no seu dia.
Se o mouse estiver em movimento, Ursnif calcula o valor delta das coordenadas x e y da última e da posição atual e o coloca em um mecanismo extremamente complicado que determina a chave de descriptografia da amostra. A chave descriptografa o código e permite a extração de uma terceira DLL que é injetada no processo explore.exe. Essa biblioteca maliciosa é responsável pela operação de roubo de informações. Se o valor delta for 0 (ou seja, se o mouse não estiver se movendo e o malware achar que foi colocado em uma máquina virtual para análise), a terceira DLL não será extraída e a infecção será interrompida.
Assim, monitorando o que o usuário faz com o mouse, Ursnif não apenas evita os especialistas em segurança, mas também obtém a chave necessária para atingir seu objetivo final - roubar informações das vítimas. É uma inovação como essa que transformou o Trojan Ursnif em uma das ameaças mais formidáveis da última década. Infelizmente, é improvável que pare aqui.