El grupo detrás del malware financiero Ursnif, también conocido como Gozi, cambió el giro del troyano para dejar de concentrarse en la banca y darle capacidades de puerta trasera más generales, ilustrando cómo los troyanos afectan a las empresas más allá del sector financiero.
Asi lo reportó la empresa de ciberseguridad, Mandiant, recientemente adquirida por Google, que explicó que una nueva variante, apodada LDR4 y detectada a partir de junio pasado, pudo haber sido construida a propósito para permitir operaciones como el ransomware y la extorsión del robo de datos.
El malware modular se une a otros como Trickbot, Emotet, Qakbot, IcedID y Gootkit, que comenzaron como troyanos bancarios, pero que se han reutilizado, sin requerir el esfuerzo de desarrollo de crear una base de código completamente nueva.
En un comunicado, Mandiant explicó que cree que los mismos cibercriminales que operaron la variante RM3 de de URSNIF probablemente estén detrás de LDR4.
“Dado el éxito y la sofisticación que RM3 tenía anteriormente, LDR4 podría ser una variante significativamente peligrosa, capaz de distribuir ransomware, que debería vigilarse de cerca”, alertó.
Malware WinDealer no requiere interacción con la víctima, solo conexión a internet
Ursnif, una larga historia
Ursnif es una de las familias de malware bancario más antiguas que siguen activas en la actualidad.
También llamado Gozi o Gozi/ISFB, su historia a veces se entrelaza con otras familias y variantes de malware.
Mandiant recordó que su código fuente se filtró al menos dos veces desde que apareció la primera versión principal en 2016, lo que resultó en otras variantes, de las cuales varias todavía están en circulación
Aunque la mayoría de los investigadores han estandarizado el nombre a Gozi, la compañía explicó que por razones principalmente históricas todavía hacen referencia a estas variantes como Ursnif, el malware más antiguo del que Gozi se originó a mediados de la década de 2000 con Haxdoor.