Nel capitolo precedente avevamo finalmente terminato l’analisi dei packer di Ursnif.A partire dal dropper contenuto nelle macro del documento malevolo (spesso una macro 4.0 che usa UrlDownloadToFile) avevamo analizzato la DLL scaricata per scoprire come questa fosse in realtà un packer che utilizza tecniche ed algoritmi piuttosto variabili nel tempo. Grazie ad UUE possiamo estrarre […]

Nell’ultimo articolo avevamo interrotto l’analisi del primo stadio a metà.Avevamo visto come è decodificata la sezione bss e come automatizzarne il processo.Il malware creava un nuovo thread che portava avanti l’infezione tramite un’APC. In questo articolo proseguiamo dall’APC e arriviamo al termine dell’analisi del primo stadio, passando per la decodifica dei “JJ chunk”. Per facilitare […]

Nell’ultimo articolo avevamo visto come ottenere il payload contenuto nel packer. In alcune occasioni il payload è risultato essere un’eseguibile PE ma nei campioni recenti (e in quelli del 2018) è una DLL.Indipendentemente dal tipo di PE, l’esecuzione procede nello stesso modo; sono presenti alcune variazioni ma sono dettagli minori di implementazione. Vedremo che questo […]

Nell’articolo precedente abbiamo visto come analizzare i documenti malevoli utilizzati da Ursnif.In particolare abbiamo mostrato come ottenere l’URL dal quale il dropper recupera il payload da eseguire. Da più di un anno a questa parte il payload è una DLL eseguita con regsvr32.exe mentre in precedenza era un PE eseguibile (un .EXE).Questo payload non contiene […]

Nell’articolo precedente avevamo introdotto le categorie di macro usate da Ursnif nel corso del tempo. Lo schema riassuntivo è il seguente. In questo articolo affronteremo le tre categorie di macro, vedremo quali strumenti sono a disposizione dell’analista e se è possibile automatizzare l’analisi. Yet Another Ursnif Questo è il secondo di una seria di articoli, […]

Ursnif è un malware ben conosciuto in letteratura, le informazioni che lo riguardano risalgono all’inizio del precedente1 decennio (circa 2012). Le campagne di Ursnif si presentano con frequenza quasi quotidiana ed è ormai molto raro che la settimana trascorra senza che gli autori di questo malware provino ad infettare quante più macchine possibile con l’ennesima […]