El malware bancario Ursnif ataca a entidades italianas
- Actualidad
La nueva variante emplea técnicas de ingeniería social y documentos de Microsoft Word especialmente manipulados para infectar a las víctimas. Además, intenta propagarse enviando el correo con el adjunto malicioso a los contactos de la víctima.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Ursnif es un banker o malware bancario conocido entre la comunidad de analistas de malware. Activo desde 2009, el malware ha sido uno de los más prolíficos de los dos últimos años, afectando a usuarios de distintas partes del mundo, incluida Europa. Ahora, los investigadores de CSE Cybsec ZLab han detectado nueva variante de Ursnif que apunta a compañías italianas, y que utiliza técnicas de ingeniería social y documentos de Microsoft Word modificados para infectar a las víctimas.
El proceso de infección comienza con un correo de phishing dirigido a la víctima, el cual está escrito en italiano, con faltas de ortografía y un documento de Microsoft Word adjunto. Algunas muestras encontradas nombraban a estos ficheros como ‘ComunediVALDELLATORRE_Richiesta.doc’, ‘IV_Richiesta.doc’, ‘OrdineDeiGiornalisti_Richiesta.doc’ y WSGgroup_Richiesta.doc’. El objetivo es tratar de convencer al destinatario a que habilite las macros para poder ver correctamente el contenido del documento.
Una vez permitida la ejecución de macros, el malware ya puede infectar la máquina y propagarse, ejecutando un ‘payload’ que descargará del servidor de comando y control, el cual instalará a su vez el binario malicioso en el sistema y descargará otro (cmiftall.exe) que implementará la persistencia, añadiendo una entrada maliciosa al registro de Windows. Además, el malware se intentará propagar enviando el correo con el adjunto malicioso a los contactos de la víctima.