มัลแวร์ Ursnif เวอร์ชันใหม่ (หรือที่รู้จักในชื่อ Gozi) ปรับตัวเองกลายเป็น backdoor ธรรมดา หลังจากถอดฟังก์ชันโทรจันสำหรับขโมยข้อมูลของธนาคารออกไป
การเปลี่ยนแปลงนี้แสดงให้เห็นว่า Ursnif เวอร์ชันใหม่กำลังมุ่งเน้นไปที่การแพร่กระจายแรนซัมแวร์ โดยเวอร์ชันใหม่นี้มีชื่อว่า “LDR4” ซึ่งถูกพบเมื่อวันที่ 23 มิถุนายน 2022 ที่ผ่านมา
โดยนักวิจัยจากบริษัท Mandiant ที่เป็นผู้วิเคราะห์ตัวมัลแวร์ เชื่อว่าตัวมัลแวร์ถูกปล่อยโดยกลุ่มเดียวกันกับมัลแวร์เวอร์ชัน RM3 ในช่วงหลายปีที่ผ่านมา
แคมเปญใหม่ของ Ursnif
มัลแวร์ Ursnif LDR4 ถูกส่งผ่านอีเมลเสนองานจากบริษัทจัดหางานปลอมที่มีลิงก์ไปยังเว็บไซต์ที่แอบอ้างเป็นบริษัทที่ถูกต้อง
โดยวิธีนี้กลุ่ม Ursnif เคยใช้มาก่อนแล้วในอดีต เมื่อเข้าไปยังเว็บไซต์ดังกล่าว จะต้องผ่านหน้า CAPTCHA ก่อน จึงจะสามารถดาวน์โหลดเอกสาร Excel ซึ่งภายในมีมาโครที่ใช้ดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอกมาอีกครั้งหนึ่ง
LDR4 มาในรูปแบบ DLL (“loader.