Troyano URSnif vuelve a afectar a múltiples bancos italianos

Recientemente se han detectado nuevas víctimas del troyano URSnif. En esta ocasión, la información de tarjetas de pago y otros datos en riesgo pertenecen a los clientes de al menos un centenar de bancos italianos según Avast Threat Labs.

Objetivos recientes del troyano URSnif

Tras descubrirse a finales de enero de este mismo año que la banca alemana se había visto afectada por las nuevas variantes del malware URSnif, ahora ha sido la banca italiana la identificada por Avast Threat Labs como nuevo objetivo. Confirmando así nuevamente que sigue siendo una amenaza constante y persistente.

A lo largo de los años, este troyano ha afectado a muchos países de todo el mundo, evolucionando e incluso adaptándose a los idiomas nativos de sus víctimas. Entre los países a los que URSnif ha impactado significativamente se haya ahora Italia.

Al analizar la información, los investigadores de Avast afirman haber encontrado información que podría usarse para ayudar a proteger a las víctimas pasadas y actuales. Por lo que la información obtenida durante los análisis del malware fue compartida con las entidades afectadas y con el CERT italiano para ayudar en la mitigación de URSnif.

Funcionamiento del malware URSnif

El troyano URSnif, aparecido inicialmente en 2017, está diseñado para el ecosistema Windows con el objeto de robar información y credenciales bancarias y de correo electrónico. Además, es capaz de descargar y ejecutar archivos en los equipos infectados. Este malware bancario también es conocido como: Trojan:W32/Ursnif, Trojan.Spy.Ursnif, Trojan.GenericKD.30550163, Gozi o ISFB.

Según el informe técnico del analista Neeraj Singh en F-Secure, este troyano bancario trata de evitar el análisis dinámico de malware. Una de las estrategias seguidas consiste en mostrar una alerta falsa con el texto «Error Initializing Client App!» en el caso de detectar un entorno virtual o de depuración. También está preparado para evadir las defensas del sistema atacado, reemplazando parte del código de los procesos svchost.exe o explorer.exe (process hollowing) e inyectando en el navegador el archivo client.dll, adaptado al sistema (tanto para 32 bits como para 64 bits).

El vector de infección usado es el spam, propagándose mediante un archivo adjunto enviado por correo electrónico. De modo que dicho correo electrónico simula ser una respuesta a una cadena en la que se solicita a la víctima la apertura del archivo ZIP adjunto con una contraseña específica. Una vez que la víctima abre el adjunto, el malware intenta robar información del sistema y la almacena en un archivo. El siguiente paso de este troyano bancario es conectarse al servidor de comando y control (C&C) malicioso para subir el archivo con la información robada.

Información obtenida por el malware

Entre la información recopilada por URSnif se cuenta el listado de controladores de dispositivo instalados (recabado con la ayuda de riverquery.exe), el listado de programas instalados (recopilado al ejecutar reg.exe «HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall»), la información del sistema (conseguida con systeminfo.exe) y los procesos ejecutados en el momento (obtenidos gracias a tasklist.exe / SVC).

Además, se ha determinado que este troyano es capaz también de: robar datos del correo electrónico debido a que es capaz de analizar diferentes tipos de formato de correo electrónico y aplicaciones asociadas; y de interceptar datos e información intercambiada con formularios web manejados por navegadores como Chrome, Internet Explorer, Thunderbird o Firefox.

Indicadores de compromiso del URSnif

Se ha identificado la creación de tres archivos por parte del troyano URSnif:

• Una copia de sí mismo con un nombre conformado a partir de cadenas extraídas del sistema de archivos de la víctima («% appdata% \ [Random_Folder] \ [Dropped_Filename] .exe»).
• Un archivo por lotes (batch) para su autoejecución y posterior borrado («% temp% \ [Random_Folder] \ [Random_File] .bat»).
• Un archivo de almacenamiento en formato CAB creado con makecab.exe, donde almacenar los datos robados («% temp% \ [Random_Hex] .bin»).

También se ha comprobado que este malware agrega las siguientes claves de registro al ejecutarse:

• (1) HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ [Dropped_Filename]:
  «% appdata% \ [Random_Folder] \ [Dropped_Filename] .exe
• (2) HKCU \ Software \ AppDataLow \ Software \ Microsoft \ {GUID} \ Vars
• (3) HKCU \ Software \ AppDataLow \ Software \ Microsoft \ {GUID} \ Archivos
• (4) HKCU \ Software \ AppDataLow \ Software \ Microsoft \ {GUID} \ Config

Más información

• Descripción del malware URSnif en F-Secure
• «The URSnif banking Trojan has hit over 100 Italian banks» en el blog de Avast.
• «URSnif Trojan Targets Italian Bank Customer Data» en BankInfo Security.
• «100 Italian Banks Hit by URSnif Trojan» en eHacking News.