تیم امنیتی ThreatSight از شرکت Carbon Black و تیم امنیتی Cisco Talos کارزار فیشینگی را کشف کرده‌اند که بدافزارهای Ursnif و GandCrab را منتشر می‌کند.

نحوه حمله بدین صورت است که یک فایل Word حاوی یک ماکرو آلوده از طریق ایمیل به قربانی ارسال می‌شود. بخشی از این ماکرو کدهای بی‌اثری است که برای پنهان‌کردن کد اصلی نوشته شده است. این ماکرو یک اسکریپت پاورشل (PowerSehll) را اجرا می‌کند. این اسکریپت یک گونه از بدافزار GandCrab Cradle و یک نسخه از بدافزار Ursnif را دانلود می‌کند.

باج‌افزار GandCrab از سایت pastebin.com دانلود شده و در حافظه اجرا می‌شود (بدون نیاز به نصب). نسخه مشاهده شده GandCrab در این کمپین 5.0.4 بوده است.

بدافزار Ursnif یک جاسوس‌افزار است که اطلاعاتی مثل اطلاعات هویتی، اطلاعات سیستمی و پردازشی و… را جمع‌آوری می‌کند و/یا بدافزارهای دیگری را مستقر می‌کند. Carbon Black حدود 120 گونه مختلف از Ursnif را در رابطه با این کارزار کشف کرده است.

منابع:

https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/

https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html