Troyano se basa en los movimientos del ratón para distinguir entre usuarios y máquina virtuales

Share this…

Investigadores en seguridad han descubierto este mes una nueva versión del troyano bancario Ursnif, la cual se dedica a utilizar trucos para esquivar los entornos de aislamiento y las máquinas virtuales tomando como referencia la detección de los movimientos del cursor del ratón. Esto le permite reconocer la presencia de un usuario real interaccionando con la computadora.

Al parecer, el mecanismo para detectar la presencia de usuarios reales mediante los movimientos del cursor del ratón no es algo especialmente complejo, basándose sobre todo en que este se mantiene todo el tiempo en la misma posición en los entornos de pruebas de seguridad y los análisis de malware.

Ursnif ha estado incorporando más trucos con el paso del tiempo. Por ejemplo, en 2016 se detectó que empezó a ocultar sus servidores de mando y control en la red Tor, haciendo así más difícil su detección. Por otro lado, durante ese mismo año fue adquiriendo capacidades para evitar su detección y esquivar máquinas virtuales.

Estas son algunas de las características más destacables incluidas en la versión de 2016 de Ursnif, las cuales le permiten distinguir un usuario legítimo de un entorno de seguridad o aislamiento:

  • Comprobación de los nombres de los ficheros: Los ficheros enviados para análisis son generalmente renombrados por hash en MD5 o SHA256, los cuales solo usan caracteres hexadecimales. Para distinguir estos ficheros de los alojados en un PC físico, lo que hace es comprobar la presencia de caracteres alfanuméricos.
  • Comprobar las aplicaciones con interfaz gráfica: Las máquinas virtuales suelen tener una pequeña cantidad de aplicaciones en ejecución, de las cuales muchas carecen de interfaz gráfica. Si Ursnif encuentra menos de 50 procesos en el sistema detiene su propia ejecución concluyendo que se trata de una máquina virtual.
  • Comprueba la IP: El malware tiene una lista de IP asignadas que corresponden a las compañías de seguridad y los centros de datos de los cuales proceden las máquinas virtuales alquiladas.
  • Comprueba los ficheros recientemente abiertos: Las máquinas virtuales suelen registrar una menor cantidad de movimientos de ficheros, lo que facilita su detección.
  • La versión de 2017 de Ursnif ha implementado la detección de los movimientos del cursor del ratón, característica que está presente desde el mes de abril.

¿Cómo se distribuye la versión de 2017 de Ursnif?

Según Forcepoint, Ursnif se distribuye ahora mediante un email a modo de spam que contiene un fichero ZIP protegido por contraseña. Una vez abierto el fichero comprimido, la víctima podrá ver tres ficheros DOCX (el formato OOXML usado desde hace tiempo por Microsoft Office), los cuales contienen macros maliciosas.

Los ficheros de Word (DOCX/OOXML) que contienen las marcos maliciosas encargadas de la instalación de Ursnif

Una vez ejecutada la marco incluida en uno los documentos de Word, se descargará un fichero DLL, el cual se descomprime en otro fichero DLL, instalando luego un tercer fichero el troyano bancario Ursnif.

En el proceso descrito en el párrafo anterior se emplea la detección para distinguir un operador real de una máquina virtual, aunque también es usado para forzar una clave de cifrado almacenada en el segundo DLL y obtener el tercer DLL.

Mozilla Thunderbird, principal objetivo de Ursnif

Quizá lo más sorprendente de la versión de Ursnif correspondiente a 2017 sea su objetivo principal. En lugar de centrarse en robar las credenciales de los usuarios de los bancos, se dedica a robar contactos y contraseñas de Mozilla Thunderbird, el popular cliente de correo de la Fundación Mozilla que lleva tiempo en la cuerda floja.

Fuente:https://muyseguridad.net/2017/07/26/ursnif-movimientos-raton-usuarios-maquina-virtuales/