Специалисты компании Forcepoint представили анализ новой вредоносной кампании, направленной на распространение известного банковского трояна Ursnif.

Исследователи пишут, что малварь распространяется вполне традиционно: посредством документов Office и вредоносных макросов. Однако эксперты заметили, что эта версия Ursnif использует новые методы обнаружения виртуальных машин, песочниц и других инструментов, которые используют ИБ-специлисты. В частности, троян следит за передвижениями курсора мыши, и если тот остается неподвижным долгое время (что обычно случается во время различных сканирований и тестов), малварь понимает, что ее пытаются изучать.

Семейство Ursnif впервые было замечено еще в 2013 году, оно фокусировалось на краже личных данных пользователей, включая пароли. За прошедшие годы исследователи не раз обнаруживали, что Ursnif адаптировал для киберкриминальных нужд новые техники и использует весьма необычные методы обхода обнаружения. К примеру, летом 2016 года малварь одной из первых начала использовать Tor для связи с управляющими серверами. Тем же летом специалисты обнаружили, что вредонос применяет целый комплекс техник, которые помогают ему избежать обнаружения. Среди них:

  • проверка имен файлов: как правило, добавленные на анализ файлы переименовываются в соответствии с их MD5 или SHA256 хешем, с использованием шестнадцатеричных символов (0123456789ABCDEFabcdef). Поэтому Ursnif ищет на зараженной машине буквенно-цифровые имена файлов, содержащие символы t, R или #, там образом определяя, что работает на обычном ПК;
  • проверка локального ПК на наличие приложений с графическим интерфейсом: работу виртуальных машин отличает небольшое число процессом и еще меньшее количество процессов с графическим интерфейсом. Если Ursnif обнаруживает менее 50 процессов, он прекращает работу, понимая, что перед ним виртуальная машина;
  • проверка IP-адреса пользователя: Ursnif проверяет IP зараженной машины и сопоставляет его со списком известных ему IP-адресов ИБ-компаний и дата-центров;
  • проверка недавно открытых файлов: банкер проверяет, какие файлы были открыты недавно. На виртуальных машинах их количество, как правило, ограничено и легко понять, что система используется не для выполнения обычных задач.

Обнаруженная аналитиками Forcepoint версия Ursnif отличается от своих предшественником не только тем, чем следит за движениями курсора. Малварь похищает не учетные данные банков, а контакты и пароли из почтового клиента Mozilla Thunderbird. Эксперты полагают, что в будущем троян научится воровать информацию из других приложений и почтовых клиентов, хотя цель операторов Ursnif пока не совсем ясна.