Campaña de distribución de nueva variante de Ursnif

• Publicado: 14/01/2021
• Importancia: Media

---

Recursos afectados

Los ciberdelincuentes utilizaron técnicas de phishing para enviar mensajes de correos electrónicos con documentos de Microsoft Word adjuntos. Estos documentos contienen macros embebidas maliciosas que, al ser habilitadas, descargan el payload de Ursnif y lo ejecutan en el equipo.

 

El primer módulo del troyano se utiliza para la captura y la exfiltración de datos del equipo comprometido tales como, el nombre de usuario de inicio de sesión y el nombre del equipo. Hasta el momento solo se ha identificado la actuación del primer módulo ya que la infraestructura de los servidores C2 se encuentra caída. Por lo tanto, no se ha logrado evidenciar actividad de capacidades de exfiltración de credenciales bancarias.

 

Aun así, no se descarta que los ciberdelincuentes obtengan de nuevo operatividad en sus servidores C2 y continúen con sus acciones cibercriminales sobre los equipos afectados.

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas

• Ursnif
• Troyano bancario
• Microsoft Windows
• Gozi
• exfiltrar datos
• phishing
• macros