URSNIF变体不再用于银行欺诈

美国麦迪安网路安全公司的研究人员警告说，从Ursnif最初的目的发生了重大转变，最初用于银行欺诈的恶意软件现在被用来提供下一个阶段的有效载荷和窃取敏感数据。

新的变种于2022年6月首次观察到，被称为LDR4，不是银行特洛伊木马，而是一个通用的后门。

美国麦迪安网路安全公司发布的报告说，这与恶意软件最初的目的——银行欺诈——发生了重大转变，但与更广泛的威胁形势是一致的。

“美国麦迪安网路安全公司认为，操作URSNIF的RM3变种的同样的威胁行为者很可能在LDR4后面。鉴于RM3之前的成功和成熟，LDR4可能是一个非常危险的变种——可以分发赎金——应该密切关注。”

Ursnif是当今通过垃圾邮件运动传播的最普遍的常见威胁之一。它出现在2007年的威胁景观中，并在2014年获得了普及，当时它的源代码在网上泄露，给几个威胁行为者提供了开发自己版本的机会。

与LDR4相关联的攻击链，以使用招募相关诱饵的恶意垃圾邮件开始。该电子邮件包含一个链接到一个被破坏的网站，该网站重定向到一个伪装成合法公司的域名。提出了一个全自动区分计算机和人类的图灵测试挑战来下载一个据称包含与电子邮件诱饵有关的信息的Excel文档。打开文档时，它将下载并执行LDR4有效负载。

对最新变体的代码分析发现，开发人员已经完全删除了银行功能。

 LDR4使用的通信协议与较早的RM3变种使用的协议非常相似。

 LDR4变体具有新的配置存储。与以前的URSNIF变体使用魔术标记来定位嵌入到二进制文件中的其他文件(连接文件)不同，LDR4变体引入了一个用于存储连接文件的新数据结构。

与以前的URSNIF变体不同，LDR4无法加载插件，而是通过LOAD _ DLL命令下载一个VNC模块。

因此，LOAD _ DLL命令允许通过任意DLL模块(与常规的插件DLL不同,后者必须以特定的方式实现,以处理主要的恶意软件)扩展恶意软件的功能，从而提供更简单、更通用的插件功能。有趣的是，VNC模块仍然使用较旧的方式存储其嵌入式配置(使用J1魔术字节)，因此有可能它最初是为不同的URSNIF变体(可能适用于IAP 2.0) ‘编译的。

最新的Ursnif变体包括一个内置的命令Shell功能，它提供了一个反向Shell，连接到远程IP地址。外壳允许攻击者通过命令提示符程序执行系统命令。此功能与通过单独的cmdshell.dll插件提供的RM3变体所支持的功能相同。

URSNIF是最新的恶意软件，它遵循了EMOTET和TRICKBOT之前的相同路径，专注于新的策略，并留下了银行欺诈的遗产。研究人员得出结论，LDR4是这一说法的证明，它删除了所有的银行恶意软件特征和模块，只关注将VNC和/或远程Shell放入受损的机器。