Investigadores
descubrieron hace pocas semanas un enlace perdido entre Necurs Botnet y una
variante del troyano Ursnif.
Aunque
el troyano bancario Ursnif presenta una nueva versión, este ya es conocido en
el mundo de ciberseguridad, ya que fue el malware más activo en el 2016 y 2017
atacando al sector financiero; pero al parecer, sus creadores han logrado
evadir los controles de seguridad y empezó a atacar nuevamente.
Esté
tiene la capacidad de robar las credenciales de los usuarios, credenciales de
correos web local, almacenamiento en la nube, plataformas de intercambio de
criptomonedas y sitios de comercio electrónico.
Durante
la campaña de este malware, se encontró un archivo adjunto que es un documento
de Microsoft Word armado, donde se aplicó el método de ingeniería social para
engañar a los usuarios con la finalidad de que habiliten las macros para
permitir la visualización correcta de su contenido.
Ursnif
al infectar la máquina, intentará expandirse a otros usuarios a través de la
libreta de direcciones de las cuentas de correo comprometidas.
El
malware intentará engañar a la víctima para que abra el correo electrónico
malicioso, presentándose como una respuesta a una conversación existente
formada por la víctima en el pasado.
Investigadores
de CSE Cybsec, revelaron que durante la búsqueda del malware consiguieron
muchos registros con la misma dirección de correo electrónico, "
whois-protect [@] hotmail [.] Com".
Esta
dirección de correo electrónico está conectada directamente con el troyano
Necurs Botnet, así como también los programas maliciosos Locky, Jaff,
Globelmposter, Dridex, Scarab y Trickbot.
Fuente: Security Affairs
