Исследователи Mandiant заявили , что вредоносная программа Ursnif «выросла» из банковского трояна в универсальный бэкдор, способный доставлять полезную нагрузку. Обновленный и модернизированный вариант, обнаруженный 23 июня 2022 года, получил кодовое название LDR4.
Ursnif (также называемый Gozi или ISFB) является одним из старейших семейств банковских троянов, самые ранние из которых были задокументированы еще в 2007 году, согласно Securitylab.
Последняя цепочка атак, подробно описанная Mandiant, включает использование документов-приманок электронной почты, связанных с набором персонала и счетами. Это является начальным вектором атаки для загрузки документа Microsoft Excel, который затем извлекает и запускает вредоносное ПО.
В результате крупной модернизации Ursnif перешел с банковских краж к извлечению VNC - модуля (Virtual Network Computing) и получению удаленной оболочки на скомпрометированном компьютере, которые выполняются через команды с удаленного сервера.
По словам исследователей Mandiant, этот переход может отражать повышенное внимание злоумышленников к участию в кампаниях с программами-вымогателями или их проведению в будущем.
Ursnif — это вредоносное ПО для кражи данных , которое, как правило, крадет конфиденциальную информацию со скомпрометированных компьютеров с возможностью сбора банковских учетных данных, осуществляет сбор нажатий клавиш, информации о системе и процессах и обеспечивает возможность развертывания дополнительных бэкдоров.