Aunque en el título hemos indicado que se trata de un «nuevo» troyano, la verdad es que podía decirse que es un conocido por todo que se ha visto remozado con funciones muy interesantes. Ursnif persigue el robo de credenciales que se introducen en los equipos infectados, ayudándose a partir de ahora de un servidor que está localizado en la ya conocida red Tor.
Conocido también como Gozi ISFB, se trata de una amenaza que surgió a partir del código fuente de este troyano que fue publicado en el año 2014. Esto provocó la aparición de una gran cantidad de variantes, siendo una de ellas esta que nos ocupa en la actualidad y que ahora sufre modificaciones en su código y también infraestructura. Os recomendamos leer nuestro artículo sobre seguridad en aplicaciones serverless.
Es costumbre dotar a las amenazas de comunicaciones remotas hacia un servidor remoto, algo necesario para realizar el envío de la información robada y recibir actualizaciones o la ejecución de comandos de forma remota. Sin embargo, ubicar estos en Internet permite que las autoridades tarde o temprano sean capaces de localizar y proceder a su cierre. Por este motivo, los responsables de esta amenaza han procedido a instalar este servidor en la red Tor, dificultando su localización y alargando de esta forma el periodo de funcionamiento de la amenaza.
Ursnif y la comunicaciones P2P
Aunque lo descrito con anterioridad es lo que prevalece, los ciberdelincuentes están probando la comunicación P2P entre los equipos infectados, permitiendo de esta forma un control distribuido de los equipos infectados sin la necesidad de que exista un servidor de control centralizado, eliminando de esta forma una de las debilidades que poseen muchas amenazas hoy en día.
La amenaza llega a los equipos a través de correos electrónicos spam y los ejecutables se camuflan como si fuese un documento perteneciente a la suite de ofimática Microsoft Office.