Ursnif kötü amaçlı yazılımın (diğer adıyla Gozi) yeni bir versiyonu, tipik bankacılık Truva işlevinden sıyrılmış genel bir arka kapı olarak ortaya çıktı.
Bu değişiklik, yeni sürümün operatörlerinin fidye yazılımlarını dağıtmaya odaklandığını gösterebilir.
“LDR4” adlı yeni varyant, 23 Haziran 2022'de, son yıllarda kötü amaçlı yazılımın RM3 versiyonunu sürdüren aynı aktörler tarafından dağıtıldığına inanan Olay Response Company Mantiant'taki araştırmacılar tarafından tespit edildi.
Ursnif LDR4 varyantı, meşru bir şirketi taklit eden bir web sitesine bağlantı içeren sahte iş teklif e -postaları aracılığıyla teslim edilir.
İş işe alım görevlileri olarak poz verme taktiği, daha önce bu stratejiyi kullanmış olan Ursnif çetesi için yeni değil.
Kötü amaçlı sitenin ziyaretçilerinin, uzak bir kaynaktan kötü amaçlı yazılım yükünü getiren makro kodlu bir Excel belgesini indirmek için bir Captcha Mücadelesi'ni çözmeleri istenir.
LDR4 varyantı DLL formunda (“Loader.dll”) gelir ve taşınabilir yürütülebilir krypters tarafından paketlenir ve geçerli sertifikalarla imzalanır. Bu, sistemdeki güvenlik araçlarından algılamadan kaçmasına yardımcı olur.
Mantiant’ın LDR4'ü inceleyen analistleri, tüm bankacılık özelliklerinin yeni Ursnif varyantından kaldırıldığını ve kodunun temizlendiğini ve basitleştirildiğini fark etti.
Yürütme üzerine, yeni Ursnif, Windows kayıt defterinden sistem hizmeti verilerini toplar ve bir kullanıcı ve sistem kimliği oluşturur.
Ardından, yapılandırma dosyasında bulunan bir RSA tuşunu kullanarak komut ve kontrol sunucusuna bağlanır. Ardından, ana bilgisayarda yürütülecek komutların bir listesini almaya çalışır.
LDR4 varyantı tarafından desteklenen komutlar şunlardır:
Ters kabuk oluşturmak için uzak bir IP adresi kullanan yerleşik komut kabuğu sistemi yeni değil, ancak şimdi önceki varyantlarda olduğu gibi ek bir modül kullanmak yerine kötü amaçlı yazılım ikili içine gömülü.
Mevcut işleme bir DLL modülünü yükleme komutu, kötü amaçlı yazılımların gerektiğinde genişletebileceği için eklenti sistemi de ortadan kaldırıldı.
Mantiant tarafından görülen bir örnek, LDR4'ü tehlikeye atılan sistemlere “uygulamalı” saldırılar gerçekleştirme yeteneği veren VNC (Sanal Ağ Hesaplama) modülüdür (“VNC64_1.DLL”).
En son sürümle, Ursnif LDR4 operatörleri, daha spesifik bir görevin kodunu geliştirmiş gibi görünüyor, diğer kötü amaçlı yazılımlar için kapıyı açan bir ilk uzlaşma aracı.
Mantiant, fidye yazılımı operasyonlarının, araştırmacıların bir yeraltı hacker topluluğunda tanımladığı gibi, fidye yazılımlarını dağıtmak için ortaklar ve Ursnif'in RM3 versiyonunu arayan bir tehdit aktörü olarak geliştiricilerin yönlendirdiği yön olduğunu belirtiyor.
Bilgisayar korsanları, 60'dan fazla kurbanı hedeflemek için yeni gizli Powershell arka kapısı kullanıyor
Hackerlar Buzlu Kireçli Yazılım Saldırılarının Arkasındaki Teslimat Taktiklerini Çeşitlendirin
Yüzlerce Microsoft SQL sunucusu yeni kötü amaçlı yazılımlarla geri çekildi
Tedarik zinciri saldırısında kötü amaçlı yazılım yaymak için hacklenen canlı destek hizmeti
Bilgisayar korsanları Putty SSH müşterisini Backdoor Media Company'ye Trojanize
Kaynak: Bleeping Computer