Az Ursnif, más néven Dreambot már jó ideje garázdálkodik a kibertérben, eleinte e-mail és banki bejelentkezési adatok böngészőkből való ellopására szakosodott. Időközben azonban kibővítették a funkcionalitását, és mostanában már más tipusú rosszindulatú programok célba juttatására is felhasználják a hackerek.
Így például a Carbon Black kutatói felfedeztek egy, az Ursnifet terjesztő spam kampányt, amely a GrandCrab zsarolóprogrammal fertőzi meg az áldozatokat. A támadás rosszindulatú makró szkripteket tartalmazó Word-dokumentum mellékletekkel ellátott spam e-mailekkel indul. A makrókban álcázásként szemét kód található, de úgy tervezték őket, hogy végrehajtsanak egy kódolt PowerShell utasítást, amelyet egy, a dokumentumban lévő objektum Alternate Text mezőjében helyeztek el.
A dokumentum-makrókat és PowerShell szkripteket előszeretettel használják a kiberbűnözők rosszindulatú programok telepítésére, mivel ezek a funkciók a Windowsban és a Microsoft Office-ban alapértelmezésben engedélyezve vannak. Az Ursnif PowerShell szkriptje egy parancs és vezérlő szerverről letölt egy programot, amely közvetlenül a memóriában hajtódik végre. A második letöltött kód beillesztődik a PowerShell folyamatba, míg a harmadik letöltés nem más, mint az online alvilági piactereken megvásárolható GrandCrab zsarolóprogram 5.0.4-es változata.
A Cisco-féle Talos csoport kutatói ugyancsak elemezték a mostanában futó Ursnip kampányokat: megállapították, hogy a trójai nem csak rosszindulatú kódokat tölt be közvetlenül a memóriába, hanem az újraindítások után is életképes marad, méghozzá fájlnélküli megvalósításban. Ezt úgy éri el, hogy egy kódolt PowerShell utasítást helyez el egy regisztrációsadatbázis-kulcsban, és később futtatja azt a Windows Management Instrumentation Command-line (WMIC) segítségével.
A rosszindulatú program CAB fájlokban tárolja az ellopott adatokat, és titkosított HTTPS kapcsolaton keresztül küldi el őket a parancs és vezérlő szerverre, megnehezítve ezáltal az adatszivárgást megakadályozó megoldások számára a forgalom észlelését.
Mivel az Ursnif fájlnélküli technikákat használ, komoly nehézséget okoz a hagyományos antivírus módszerekkel kiszűrni a forgalmát a normál forgalomból, állapították meg a Talos kutatói.
