آزمایشگاههای تحقیقاتی و اطلاعاتی Cyble (CRIL)، یک کمپین در حال انجام را تحلیل کرده است که با استفاده از تروجان بانکی Ursnif برای سرقت اطلاعات حساس، مشاغل حرفهای در سراسر ایالات متحده را هدف قرار میدهد.
این کمپین از فایل LNK مخرب استفاده میکند که با دادههای رمزگذاری شده به صورت PDF در میآید. این فایل با استفاده از certutil.exe رمزگشایی میشود که سپس payload مرحله بعدی یک فایل HTA را تحویل میدهد. فایل HTML Application (HTA) حاوی VBScript است که سند فریبدهنده و فایل DLL مخرب را استخراج و اجرا میکند که هر دو در فایل HTA تعبیه شدهاند. فایل DLL به عنوان یک لودر عمل میکند و payload و شِلکد بعدی را رمزگشایی میکند که مسئول اجرای مؤلفه هسته Ursnif هستند.
گفتنی است که عوامل تهدید مرتبط با این کمپین از عملیات چند مرحلهای استفاده میکند که کاملاً در حافظه اجرا میشود و به طور مؤثری از شناسایی توسط محصولات امنیتی فرار میکند. فایل بارگذاری نهایی (DLL) به عنوان بدافزار Ursnif شناسایی میشود که میتواند با سرور C&C ارتباط برقرار کند و ماژولهای اضافی را برای سرقت اطلاعات حساس از دستگاه قربانی دانلود کند.
https://cyble.com/blog/ursnif-trojan-hides-with-stealthy-tactics
