一种最流行的银行木马已被重新改造为通用后门 媒体

URSNIF转变为通用后门：网络安全新威胁

关键要点

根据Mandiant的新研究，URSNIF是最古老且最广泛传播的银行欺诈恶意软件之一，现已被改造为一种通用后门，可能成为勒索软件攻击者的常见工具。

URSNIF 被视为一种高风险银行木马，可以窃取系统信息、记录按键数据，以及监控网络和浏览器活动。自2016年源代码泄露以来，出现了多个变种，包括Dreambot、IAP、RM2和RM3。但研究人员指出，这一新变种 LDR4 于今年6月首次被发现，与之前的版本有所不同，并且“标志着这一工具的重要里程碑”。

Mandiant的研究人员Sandor Nemes、Sulian Lebegue和Jessa Valdez在周三的博客 post中表示：“这是恶意软件从最初的银行欺诈目的的重大转变，但与更广泛的威胁形势一致。考虑到RM3之前的成功和复杂性，LDR4可能是一个危险的变种能够分发勒索软件值得密切关注”。

研究人员指出，最显著的变化在于新的后门采用了新的策略，并移除了银行欺诈特性，这类似于EMOTET和TRICKBOT过去的做法。现在，LDR4专注于获取被攻陷机器的 VNC 和远程 Shell。

就像2021年4月报告的RM3的分发情况一样，LDR4首次通过一封与招聘相关的恶意邮件被发现。该邮件将用户重定向到一个被攻陷的网站，并提出CAPTCHA挑战以下载Microsoft Excel文档，随后该文档提取并执行恶意软件。

然而，这一后门放弃了RM3首次引入的自定义PX可执行文件格式。研究人员认为这一决定是为了简化软件故障的排查过程。

此外，PX格式现在可被杀软和终端检测和响应产品检测到。研究人员补充说：“从攻击者的角度来看，投资于一种所有人都能检测到的产品并不是资源的高效利用。”

Mandiant的金融犯罪分析高级经理Jeremy Kennelly在给SC Media的电子邮件中表示：“也有可能因为来自其他恶意软件运营者如IcedID的市场竞争加剧，导致LDR4的作者寻求减少恶意软件的复杂性，从而使检测变得更困难。”

Kennelly指出，LDR4历史性变化可能突显出威胁行为者在未来更倾向于参与或促进勒索软件操作的趋势。

“勒索软件操作，无论是部署勒索软件还是提供围绕勒索软件分发的服务，对于参与者而言始终是非常有利可

• • 2025-11-13 18:36:10
  • 3