Af Eskil Sørensen, 28/10/22
En af de ældste og mere succesrige former for bank-malware er blevet omdannet til en ’bagdørs-trojaner’, der beskrives som værende ’betydeligt farlig’ og sandsynligvis vil blive brugt til ransomware-angreb.
Det skriver ZDNet på baggrund af en blog fra sikkerhedsfirmaet Mandiant, hvis researchere har kigget nærmere på den nye variant af Ursnif malware, som også er kendt som Gozi. Den nye variant er angiveligt blevet bygget om til at kunne afvikle ransomware- og datatyveri-angreb.
Ursnif-malwaren er fra 2006 og oprindeligt designet til at stjæle bankoplysninger; FBI har beskrevet den som værende ’en af de mest økonomisk ødelæggende computervirus i historien’ med ’titusindvis af millioner dollars i tab’. Siden blev den originale kildekode lækket, hvilket afstedkom flere nye varianter.
Ifølge analysen fra Mandiant er malwaren nu blevet ændret med en ny variant – kaldet LDR4 – som har omdannet Ursnif til malware i stil med Trickbot og Emotet. Det er denne bagdør, der angiveligt kan bruges til at installere ransomware.
Den nye variant blev første gang set i juni i år, og den distribueres ved hjælp af de klassiske phishingmails, hvilket også tidligere Ursnif-kampagner og mange andre malware-angreb bruger. I disse mails opfordres modtagerne til at downloade et dokument. Hvis det sker, bliver Ursnif-payloadet downloadet, og det giver ifølge ZDNet angribere fjernadgang til maskinen.
Mandiant-researcherne skriver, at ændringen fra en bankmalware til en bagdør matcher et bredere trusselslandskab, man ser i disse år. Altså hvor der produktudvikles på én type malware, der har ét bestemt formål, til en ny type malware, der har et andet formål. En produktudvikling, som også Emotet og Trickbot har været genstand for.
Links:
https://www.mandiant.com/resources/blog/rm3-ldr4-ursnif-banking-fraud