David Morán 23/08/21 10 min read

Ursnif y Cerberus: Un ataque combinado

En esta ocasión, vamos a hablar de Ursnif, también conocido como Gozi, y de cómo usa funcionalidades de Cerberus para automatizar movimientos bancarios fraudulentos.

Ursnif es un troyano bancario para Windows descubierto en 2007 que ha ido evolucionando a lo largo de los años, siguiendo activo en la actualidad y siendo uno de los más extendidos. Ha llegado a afectar a multitud de víctimas alrededor del mundo.

Tanto es así, que a principios de este año usuarios de la banca alemana se vieron afectados por su actividad maliciosa, y en torno a Marzo se identificaron nuevas variantes que tenían a la banca italiana como objetivo. Cabe destacar que en este país el impacto ha sido significativamente llamativo respecto al resto.

Características

Estos cambios y evolución podrían tener varios motivos, entre ellos está el hecho de que en torno al año 2015, el código fuente de este malware se filtró y publicó en la plataforma de control de versiones GitHub. Esto permitió a otros desarrolladores de software malicioso añadir funcionalidades y realizar toda clase de cambios en el código del mismo, creando presumiblemente nuevas versiones que podrían haberse distribuido a lo largo de distintas campañas.

En cuanto a sus funcionalidades, además del habitual robo de credenciales bancarias y de otro tipo de información que son comunes en este tipo de troyanos, encontramos que Ursnif tiene capacidad para recopilar información sobre la actividad del sistema infectado, así como credenciales de usuario de varias aplicaciones, realizar un seguimiento de la actividad de red y navegación, registrar las pulsaciones del teclado o almacenar los datos recopilados para enviarlos al servidor de control.

Propagación

Respecto a las técnicas de propagación, el malware bancario se ha distribuido eficazmente a través de campañas de spam maliciosas donde el atacante simula que el correo electrónico procede de estamentos oficiales, empresas de mensajería que hacen entrega de un supuesto paquete o compañías que remiten una factura.

Todo ello con el objetivo de intentar engañar al usuario y que este descargue el archivo adjunto, habitualmente un documento de Microsoft Office, y habilite las macros del mismo para continuar con su actividad maliciosa y terminar infectando el equipo de la víctima.


ursnif-cerberus-malware-01

Campaña INPS. Fuente Trendmicro.com

Por ejemplo, el pasado año, se detectó una campaña que estaba aprovechando la autoridad del organismo italiano INPS, una entidad de su sistema público, con el objetivo de persuadir al usuario para que abriera el archivo que se adjuntaba, teniendo que introducir para ello una contraseña que se indicaba en el correo. Tras conseguirlo, se realizaba una comunicación con un servidor remoto y se descargaba una DLL a la máquina víctima de forma que el sistema terminaba siendo infectado.

 

Un ataque combinado

Hasta ahora hemos visto cómo ha funcionado Gozi de forma habitual, pero nos queda por descubrir una parte importante de este artículo. Como comentamos al principio del mismo, recientemente se han descubierto nuevas versiones de este troyano bancario que tienen que ver con Cerberus, un troyano bancario para Android que ha ido ganando popularidad desde su lanzamiento en 2019, y del que ya hemos hablado de forma extendida en este informe donde se tratan todos sus aspectos y características.


ursnif-cerberus-malware-02

IOc Cerberus + APK: 40b8a8fd2f4743534ad184be95299a8e17d029a7ce5bc9eaeb28c5401152460d

En concreto, vamos a hablar de qué relación tiene Gozi con el malware Cerberus, y de qué forma lo usan algunas de sus funcionalidades para automatizar transferencias bancarias fraudulentas de bancos italianos.

Y es que Ursnif, además de infectar el sistema operativo de escritorio de la víctima, intenta persuadir al usuario para que descargue una aplicación fraudulenta en su dispositivo móvil con la que conseguirá infectarlo con el troyano bancario para Android.

ursnif-cerberus-malware-03

Servidores de control y dominios fraudulentos. Fuente Securityintelligence.com


Recepción de códigos y automatización

Investigaciones recientes sobre estas nuevas versiones han destapado que los desarrolladores de Ursnif están utilizando componentes del malware Cerberus con el objetivo de recibir los mensajes de autenticación de doble factor que las entidades bancarias envían a los usuarios para confirmar transferencias bancarias entre cuentas, por lo que en este sentido y en esta fase, se están utilizando funcionalidades del troyano para Android que permiten a los atacantes eludir la verificación que se realiza mediante el código SMS enviado por el banco.

Respecto a la automatización, uno de los fines de Ursnif en este caso es conseguir automatizar las transacciones que se inician previamente en el navegador de los sistemas Windows infectados.

Para ello, cuenta con una funcionalidad que le permite cambiar el número de cuenta bancaria internacional (IBAN), así como el número de identificación bancaria (BIC) por un número de cuenta que controla el atacante que desea realizar el fraude.

Conclusiones

Ursnif es un troyano bancario para Windows descubierto en 2007, que se ha visto modificado en multitud de ocasiones y que ha ido evolucionando a lo largo de los años, siendo actualmente uno de los más extendidos, afectando a entidades de distintas partes del mundo, y en especial a usuarios de entidades bancarias italianas.

Recientemente se han detectado nuevas versiones en las que se ha descubierto que Ursnif está usando las funcionalidades de Cerberus, un troyano bancario para Android descubierto en 2019 y que está ganando popularidad poco a poco desde entonces, para conseguir automatizar movimientos bancarios fraudulentos en las cuentas de usuarios de entidades italianas cuyos dispositivos se han visto infectados.

Dado que no es la primera vez que se detectan modificaciones en el comportamiento de Ursnif, es importante seguir prestando atención a su evolución, ya que como vemos, aunque fue visto por primera vez hace casi 15 años, sigue siendo una amenaza importante dispuesta a seguir renovándose.


References
https://securityintelligence.com/posts/ursnif-cerberus-android-malware-bank-transfers-italy
https://www.f-secure.com/v-descs/trojan_w32_ursnif.shtml
https://blog.avast.com/ursnif-victim-data

avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.