Uma nova variação do malware trojan popular entre criminosos cibernéticos está se espalhando por meio de documentos maliciosos do Word, com o objetivo de roubar dados bancários e outras informações pessoais úteis.
O trojan Ursnif¹ tem como alvo as máquinas Windows e existe, de uma forma ou de outra, desde 2007, quando seu código surgiu pela primeira vez no trojan bancário Gozi.
A Ursnif se tornou incrivelmente popular entre os criminosos nos últimos anos devido ao vazamento de seu código-fonte, permitindo que os invasores o aproveitassem gratuitamente.
Diversas variantes distintas do malware surgiram desde que o código vazou, à medida que os invasores o pegaram e adicionaram seus próprios recursos personalizados para roubar detalhes bancários e outras credenciais de contas online.
Agora, pesquisadores da firma de segurança cibernética Fortinet identificaram uma nova versão do Ursnif em estado “selvagem” que está se espalhando por e-mails de phishing contendo documentos Word modificados. Essas iscas infectadas que são nomeadas com um formato “info_ [date] .doc” e afirmam que o documento foi criado em uma versão anterior do Word, exigindo que o usuário dê permissões para sua visualização.
Clicando na opção de ‘Habilitar Conteúdo’, um código malicioso do VBA é liberado e inicia-se o processo de descarregamento de uma versão do malware Ursnif que, segundo os pesquisadores, só foi compilada recentemente, em 25 de julho, indicando quando esta última versão foi desenvolvida.
Uma vez instalado em um sistema, o malware executa vários processos “iexplorer.exe” que aparecem e desaparecem repetidamente.
Estes processos são na verdade o Ursnif criando as condições necessárias para se conectar ao seu servidor de controle. No que parece ser um esforço para tornar a atividade menos suspeita, a lista de hosts do servidor C&C inclui referências à Microsoft e às empresas de segurança.
Os pesquisadores alertam que a campanha ainda está ativa e forneceram uma revisão dos indicadores de comprometimento em sua análise do malware.
As técnicas de ataque implantadas por esta última campanha da Ursnif podem parecer básicas, onde as recomendações gerais para manter a segurança de seu PC e empresa seguem as mesmas – lembre-se que até mesmo um simples ataque de e-mail com phishing ainda é capaz de fornecer aos hackers meios de entrar em redes ou implantar malwares diversos e mantenha-se seguro!
1. Detalhamento do Ursnif: https://www.f-secure.com/v-descs/trojan_w32_ursnif.shtml
Traduzido e adaptado de ZDNet. Phishing: Watch out for this new version of trojan malware that spreads through malicious Word documents. PALMER, Danny. Disponível em: <https://www.zdnet.com/article/phishing-watch-out-for-this-new-version-of-trojan-malware-that-spreads-through-malicious-word-documents/?utm_campaign=Weekly%20Newsletter&utm_source=hs_email&utm_medium=email&utm_content=75641350&_hsenc=p2ANqtz-8wq-LAxwjl9aJn3ijK5F9H5H4CmJEuBz0i-e6DYHVhXLm48ZhayD7GhQio8Mw5ww8NiykxgKt3vqHVDfm-1LkwdYHBdA&_hsmi=75641350>. Acesso em: 14 de Agosto de 2019.