Las versiones de las amenazas se suceden y muchas mejoran a pasos agigantados. Ursnif, un troyano bancario es un claro ejemplo de esto, ya que tras varias versiones se ha lanzado la última que permite evadir el análisis de su comportamiento o hacer frente a las herramientas de seguridad, evitando que estas puedan detener su instalación y ejecución en los sistemas operativos Windows.
Para llevar a cabo su análisis, expertos recurren a máquinas virtuales o sandboxes para indagar más sobre su comportamiento y así crear herramientas o actualizar las ya existentes para permitir su detección y posterior eliminación, o incluso detener su instalación y así evitar que el sistema se vea afectado.
Esta nueva variante se está distribuyendo a través de correos electrónicos que poseen como adjunto un documento perteneciente a la suite ofimática Microsoft Office. Una práctica que se ha recuperado en el último año y que de nuevo vuelve a estar en el pico de la ola, afectando por el momento a miles de usuarios que se encuentran muy repartidos por los países que se encuentran en Europa.
La amenaza posee un módulo que antes de proceder a su instalación verifica una serie de características del equipo, permitiendo de esta forma saber si se trata de un ordenador habitual o si de lo contrario se encuentra dentro de un entorno virtualizado. Si el resultado es positivo, la ejecución se suspende y el análisis de la amenaza no será posible.
Pero esta es solo una de las funciones de comprobación, ya que existe otra que permite verificar si hay iniciados en el sistema al menos 50 procesos, buscando de alguna forma verificar que se trata de un equipo de un usuarios doméstico. De no ser así, se contempla como un entorno de desarrollo y no se lleva a cabo la ejecución de la amenaza.
Ursnif y otras amenazas
Tal y como se puede ver, los esfuerzos de los ciberdelincuentes se centran sobre todo en evitar estas técnicas de análisis que permiten en poco tiempo conocer el comportamiento de la amenaza e inmunizar los equipos y preparar las herramientas de seguridad para realizar de forma óptima la detección de la amenaza.
La amenaza que nos ocupa es una, pero existen otras (sobre todo troyanos bancarios) que siguen en mismo camino que estay hacen uso de estas funciones para evitar que el malware sea analizado utilizando sanboxes o máquinas virtuales.
Las otras funcionalidades se mantienen y la principal finalidad no es otra que proceder al robo de datos, sobre todo aquellos que están relacionados con servicios de banca en línea.
Fuente | Softpedia