Global Preloader
Vulnerabilidad
(25/Jan/2019) URSNIF, LA NUEVA CAMPAÑA EN MALWARE

URSNIF, LA NUEVA CAMPAÑA EN MALWARE

Especialistas en seguridad  de Cisco Talos descubrieron una nueva campaña de Ursnif malware mediante el uso de PowerShell, donde los hackers procuran no ser detectados. Este programa conocido como Gozi ISF es descendiente del troyano bancario Gozi.

Para crear este tipo de campañas, los delincuentes crean un documento de Microsoft malicioso que contiene una macro VBA (Visual Basic para aplicaciones), solicita a los usuarios habilitarlas y en dado caso que ya estén permitidas, se ejecutan automáticamente a través de la función AutoOpen.

“El valor de esta propiedad es el comando malicioso de PowerShell, que posteriormente es ejecutado por la función de Shell”, dijeron los investigadores.

Una vez que se ejecuta en el ordenador, Ursnif agrega nuevas entradas de registro a Windows Management Instrumentation Command-line (WMIC) para codificar los nuevos comandos de Powershell e implementar la inyección APC en la memoria del ordenador.

Por último, el malware comienza a emitir solicitudes de C2 a sus servidores por medio de HTTPS, el cual contiene datos exfiltrados y guardados como archivos CAB.

Fuente secundaria:

https://securereading.com/ursnif-malware-campaign-spotted-in-the-wild/