新的Ursnif变种可能将焦点转移到Ransomware和数据盗窃

Ursnif恶意软件已经成为最新的恶意软件，它的根源是银行木马，将自己改造成一个通用的后门，能够提供下一个阶段的有效载荷，加入Emotet、Qakbot和TrickBot等。

美国麦迪安网路安全公司的研究人员Sandor Nemes、Sulian Lebegue和Jessa Valdez在周三的一份分析报告中透露，这与恶意软件最初的目的是使银行欺诈的目的发生了重大变化，但与更广泛的威胁景观是一致的。

被谷歌拥有的威胁情报公司于2022年6月23日在野外首次发现的刷新和重构的变种，已被命名为LDR4，这被认为是试图为潜在的勒索软件和数据盗窃行为奠定基础。

 Ursnif，也称为Gozi或ISFB，是最古老的银行家恶意软件家族之一，最早的记录攻击可追溯到2007年。2020年8月，”检查点”绘制了”五子棋”多年来的”发散式演变”，同时指出其碎片化的发展历史。

差不多一年后的2021年6月下旬，罗马尼亚威胁行动者米哈伊·伊努特·保内斯库( Mihai Ionut Paunescu )因在2007年至2012年间将恶意软件传播到不少于100万台计算机而被哥伦比亚执法官员逮捕。

美国麦迪安网路安全公司详述的最新攻击链演示了使用招聘和发票相关的电子邮件诱饵作为初始入侵向量来下载Microsoft Excel文档，然后获取并启动恶意软件。

  Ursnif的主要翻新是舍弃了所有与银行相关的功能和模块，以便检索一个VNC模块，并获得一个远程外壳进入受损机器，通过连接到远程服务器来获得上述命令。

研究人员说，这些变化可能反映了威胁行为者在未来参与或支持赎金操作的重点。