มัลแวร์ Ursnif เปลี่ยนจากการขโมยบัญชีธนาคาร กลายเป็นมัลแวร์ที่ใช้แพร่กระจาย Ransomware

มัลแวร์ Ursnif เวอร์ชันใหม่ (หรือที่รู้จักในชื่อ Gozi) ปรับตัวเองกลายเป็น backdoor ธรรมดา หลังจากถอดฟังก์ชันโทรจันสำหรับขโมยข้อมูลของธนาคารออกไป

การเปลี่ยนแปลงนี้แสดงให้เห็นว่า Ursnif เวอร์ชันใหม่กำลังมุ่งเน้นไปที่การแพร่กระจายแรนซัมแวร์ โดยเวอร์ชันใหม่นี้มีชื่อว่า “LDR4” ซึ่งถูกพบเมื่อวันที่ 23 มิถุนายน 2022 ที่ผ่านมา

โดยนักวิจัยจากบริษัท Mandiant ที่เป็นผู้วิเคราะห์ตัวมัลแวร์ เชื่อว่าตัวมัลแวร์ถูกปล่อยโดยกลุ่มเดียวกันกับมัลแวร์เวอร์ชัน RM3 ในช่วงหลายปีที่ผ่านมา

Ursnif เวอร์ชันต่างๆ ที่ปรากฏในช่วงหลายปีที่ผ่านมา (Mandiant)


แคมเปญใหม่ของ Ursnif
มัลแวร์ Ursnif LDR4 ถูกส่งผ่านอีเมลเสนองานจากบริษัทจัดหางานปลอมที่มีลิงก์ไปยังเว็บไซต์ที่แอบอ้างเป็นบริษัทที่ถูกต้อง

โดยวิธีนี้กลุ่ม Ursnif เคยใช้มาก่อนแล้วในอดีต เมื่อเข้าไปยังเว็บไซต์ดังกล่าว จะต้องผ่านหน้า CAPTCHA ก่อน จึงจะสามารถดาวน์โหลดเอกสาร Excel ซึ่งภายในมีมาโครที่ใช้ดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอกมาอีกครั้งหนึ่ง

เอกสาร Excel ที่เป็นอันตรายที่ใช้ในแคมเปญปัจจุบัน (Mandiant)

 

LDR4 มาในรูปแบบ DLL (“loader.dll”) และมีตัวเข้ารหัสแบบ portable ด้วย signed certificates ของโปรแกรมที่ถูกต้อง ซึ่งจะช่วยหลบเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัยบนระบบ

นักวิเคราะห์ของ Mandiant พบว่าฟังก์ชันการขโมยข้อมูลธนาคารทั้งหมดถูกลบออกจากมัลแวร์ Ursnif เวอร์ชันใหม่ และตัวมัลแวร์เวอร์ชันนี้ทำให้ถูกตรวจจับได้ยากขึ้น และสั่งการทำงานได้ง่ายขึ้น

การดำเนินการจากมัลแวร์ Ursnif เวอร์ชันใหม่นี้ จะทำการรวบรวมข้อมูลต่างๆ บน Windows จากนั้นจึงเชื่อมต่อกลับไปยัง c&c server โดยการใช้ RSA key ที่อยู่ในไฟล์ configuration จากนั้นจึงจะทำการรับคำสั่งจาก c&c server

POST request ส่งโดย Ursnif ไปยังเซิร์ฟเวอร์ C2 (Mandiant)

 

คำสั่งที่รองรับจาก LDR4 มีดังต่อไปนี้:

  • โหลดโมดูล DLL เข้าสู่ process ที่กำลังทำงานอยู่
  • ดึงสถานะของ cmd.exe reverse shell
  • เริ่ม cmd.exe reverse shell
  • หยุด cmd.exe reverse shell
  • รีสตาร์ท cmd.exe reverse shell
  • เรียกใช้คำสั่งโดยไม่ได้รับอนุญาติ
  • เสร็จสิ้น

command shell ที่ใช้กับ reverse shell ไม่ได้เป็นพฤติกรรมใหม่ แต่เป็นการเปลี่ยนมาฝังอยู่ในไบนารีของมัลแวร์ แทนที่จะใช้โมดูลเพิ่มเติม เช่นเดียวกับเวอร์ชันก่อนหน้านี้ ระบบปลั๊กอินก็ถูกถอดออกไปด้วย เนื่องจากคำสั่งโมดูล DLL ใน Process ปัจจุบันสามารถขยายขีดความสามารถของมัลแวร์ได้ตามที่ต้องการแล้ว

ตัวอย่างหนึ่งที่ Mandiant พบคือโมดูล VNC (virtual Network Computing) (“vnc64_1.dll”) ซึ่งทำให้ LDR4 มีความสามารถทำให้ผู้โจมตีสามารถลงมือปฏิบัติการเองได้บนระบบของเหยื่อ

ด้วยเวอร์ชันล่าสุด Ursnif LDR4 ได้ปรับปรุงโค้ดเป็นรูปแบบที่เฉพาะเจาะจงมากขึ้น ซึ่งดูเหมือนจะถูกใช้เป็นเครื่องมือสำหรับเข้าถึงระบบในเบื้องต้น เพื่อเป็นช่องทางสำหรับมัลแวร์ตัวอื่นๆ ต่อไป

Mandiant ตั้งข้อสังเกตว่าการดำเนินการลักษณะดังกล่าวทำเพื่อสนับสนุนการแพร่กระจายแรนซัมแวร์ เนื่องจากนักวิจัยพบข้อมูลว่ากลุ่มแฮ็กเกอร์กำลังมองหาพันธมิตรเพื่อแพร่กระจายแรนซัมแวร์ และ Ursnif เวอร์ชัน RM3


ที่มา : bleepingcomputer