Inicio / Actualidad / Nueva campaña de phishing deja caer Ursnif en hilos de conversación

Nueva campaña de phishing deja caer Ursnif en hilos de conversación

Una nueva campaña de phishing detectada en septiembre muestra una mayor sofisticación por parte de los operadores, que toman las cuentas de correo electrónico e insertan un troyano bancario en los hilos de conversación.

El malware viene de las respuestas a las discusiones existentes, un poderoso enfoque de ingeniería social que puede garantizar una alta tasa de éxito porque se basa en el contexto familiar en el que la víctima ya confía.

El señuelo para instalar el malware es un documento adjunto que, una vez lanzado, surge una rutina para recuperar la última versión del malware Ursnif. Se ejecuta solo en sistemas que ejecutan Windows Vista o superior y evita las máquinas con configuraciones regionales rusas o chinas.

Aunque las respuestas maliciosas provienen de alguien conocido por la víctima, hay señales de advertencia que deberían hacer que parezcan sospechosas: cambio repentino de idioma de francés a inglés, genéricoidad del mensaje o una firma de aspecto extraño al final del mensaje.

Una inspección más profunda del correo electrónico revela que no hay falsificación de los encabezados de “ruta de retorno” o “respuesta a”. En cambio, la víctima enviaría las respuestas a la cuenta original, sugiriendo que el actor de amenazas puede iniciar sesión en ella.

Los investigadores de seguridad de Trend Micro creen que las respuestas llenas de malware provienen de los Estados Unidos y descubrieron que en septiembre se enviaron muchos mensajes desde varias cuentas del mismo host.

“Lo que podemos suponer de los encabezados es que el atacante de alguna manera se ha apoderado de una cuenta auténtica y está usando esta cuenta para la estafa similar a BEC”, escribe Trend Micro en un informe .

Los investigadores notaron que estos ataques eran similares a lo que Cisco Talos detectó en una campaña anterior que eliminó al troyano bancario Ursnif, también conocido como Gozi.

Malware apunta a organizaciones en varios sectores.

Además de recopilar detalles sobre el sistema, el software disponible, los procesos en ejecución, los controladores instalados y los dispositivos de red presentes, Ursnif también busca credenciales de correo electrónico, cookies y certificados.

Su antigua funcionalidad para el robo de información financiera a través de inyección web no ha sido eliminada.

Un análisis de la variante de malware mostró que utiliza la red Tor para comunicarse con los servidores de comando y control (C2) y su principal objetivo es robar información.

La reciente operación de phishing parece centrarse en organizaciones en los sectores de educación, finanzas y energía en América del Norte y Europa.

Sin embargo, no se limita a estas regiones y verticales, como se ha visto en Asia y América Latina, atacando a víctimas en las industrias de bienes raíces, transporte y manufactura.

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

El ataque de phishing pretende ser un correo electrónico de no entrega de Office 365

Se descubrió una campaña de phishing que pretende ser una notificación de no entrega de …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.