El líder mundial en productos de privacidad y seguridad digital Avast, con el apoyo de sus investigadores del Avast Threat Labs ha detectado una evolución en el troyano bancario Ursnif por lo que los usuarios de todo el mundo siguen siendo amenazados.
Cómo funciona Ursnif
Ursnif se ha dirigido a usuarios en muchos países de todo el mundo a lo largo de los años, a menudo se ha extendido mediante señuelos de correo electrónico en idiomas nativos. Considerado un “malware sin archivos” porque malware avanzado que deja muy poca marca en el sistema.
El malware puede esconderse silenciosamente durante horas hasta que finalmente comienza su actividad maliciosa. Se instala después de descargar la puerta trasera y que tiene que recibir información de su comando y control (C&C) antes de que esté activo.
Ursnif puede robar más que información bancaria: también puede acceder a ciertos correos electrónicos y navegadores, así como infiltrarse en carteras de criptomonedas.
“Estas técnicas de ocultación que se utilizan para eludir las soluciones de seguridad son muy creativas y podrían ser efectivas contra quienes no tienen capas de seguridad avanzadas, como escudos de comportamiento”, señala Michal Salat, Director de Inteligencia de Amenazas en Avast.
“Sin embargo, este ataque también ilustra que el eslabón más débil de la cadena es el usuario. Malwares como Ursnif se propagan más comúnmente a través de enlaces y archivos adjuntos maliciosos. La lección es evitar los archivos adjuntos y nunca hacer clic en enlaces en correos electrónicos donde no conocemos al remitente. E incluso si cometemos el error de abrir el documento, simplemente no activar macros desde el documento nos salvará.”
Impacto internacional
Entre los países en los que Ursnif ha impactado significativamente está Italia, un hecho que se encuentra reflejado en la información que obtuvieron los investigadores de Avast. Al analizar la información, los investigadores encontraron información que podría usarse para ayudar a proteger a las víctimas pasadas y actuales de Ursnif.
Específicamente, encontraron nombres de usuario, contraseñas, tarjetas de crédito, información bancaria y de pago que parece haber sido robada a las víctimas de Ursnif por los operadores de malware. Se encontraron evidencias de más de 100 bancos italianos atacados en la información que se obtuvo. También Avast detectó más de 1.700 credenciales robadas por un solo procesador de pagos.
El equipo de investigación ha tomado esta información y la ha compartido con los procesadores de pagos y los bancos que pudieron identificar. También se compartió esto con grupos de intercambio de información de servicios financieros como CERTFin en Italia. Con esta información, estas empresas e instituciones están tomando medidas para proteger a sus clientes y ayudarlos a recuperarse del impacto de Ursnif.
Para Avast la clave para combatir a este tipo de malware es el intercambio de informacion con el fin de proteger a todos en internet.
Un ejemplo claro de su mentalidad es la investigación de Avast Threat Labs que está destinada para proteger a todos en internet.