Ursnif es un malware que nació en 2007 como un troyano bancario, pero que ha evolucionado a lo largo de los años y se ha mantenido como una amenaza constante y persistente
Avast, (LSE:AVST), líder mundial en productos de privacidad y seguridad digital, detectó con el apoyo de sus investigadores del Avast Threat Labs, que el troyano bancario Ursnif evolucionó y sigue amenazando a usuarios en todo el mundo. Ursnif se ha dirigido a usuarios en muchos países de todo el mundo a lo largo de los años, a menudo se ha extendido mediante señuelos de correo electrónico en idiomas nativos.
A diferencia de otros troyanos, Ursnif se instala después de descargar una puerta trasera, una apertura para que los usuarios no autorizados eludan las medidas de seguridad normales y obtengan acceso de usuario de alto nivel en un sistema informático, red o aplicación de software. Es un malware avanzado que deja muy poca marca en el sistema, un ejemplo del llamado "malware sin archivos". Además, debido a que solo se instala después de descargar la puerta trasera y que tiene que recibir información de su comando y control (C&C) antes de que esté activo, el malware puede esconderse silenciosamente durante horas hasta que finalmente comienza su actividad maliciosa.
Ursnif puede robar más que información bancaria: también puede acceder a ciertos correos electrónicos y navegadores, y puede infiltrarse en carteras de criptomonedas.
“Estas técnicas de ocultación que se utilizan para eludir las soluciones de seguridad son muy creativas y podrían ser efectivas contra quienes no tienen capas de seguridad avanzadas, como escudos de comportamiento”, señala Michal Salat, Director de Inteligencia de Amenazas en Avast. “Sin embargo, este ataque también ilustra que el eslabón más débil de la cadena es el usuario. Malwares como Ursnif se propagan más comúnmente a través de enlaces y archivos adjuntos maliciosos. La lección es evitar los archivos adjuntos y nunca hacer clic en enlaces en correos electrónicos donde no conocemos al remitente. E incluso si cometemos el error de abrir el documento, simplemente no activar macros desde el documento nos salvará.”
Entre los países en los que Ursnif ha impactado significativamente está Italia, un hecho que se encuentra reflejado en la información que obtuvieron los investigadores de Avast. Al analizar la información, los investigadores encontraron información que podría usarse para ayudar a proteger a las víctimas pasadas y actuales de Ursnif. Específicamente, encontraron nombres de usuario, contraseñas, tarjetas de crédito, información bancaria y de pago que parece haber sido robada a las víctimas de Ursnif por los operadores de malware. Se encontraron evidencias de más de 100 bancos italianos atacados en la información que se obtuvo. También Avast detectó más de 1.700 credenciales robadas por un solo procesador de pagos.
El equipo de investigación ha tomado esta información y la ha compartido con los procesadores de pagos y los bancos que pudieron identificar. También se compartió esto con grupos de intercambio de información de servicios financieros como CERTFin en Italia. Con esta información, estas empresas e instituciones están tomando medidas para proteger a sus clientes y ayudarlos a recuperarse del impacto de Ursnif.
Avast cree firmemente en el intercambio de información para proteger a todos en Internet y este es un ejemplo de cómo la investigación de Avast Threat Labs puede ayudar a proteger no solo a clientes, sino a todos en Internet.