El procedimiento busca detectar si el puntero del ratón realiza movimientos en la pantalla, algo propio de los usuarios humanos, que no ocurre en pruebas de seguridad y entornos de análisis de malware, donde el puntero permanece en la misma posición durante todo el proceso de análisis.
La información ha sido publicada en el blog de Forcepoint Security, empresa que en enero de 2016 informaba que el mismo troyano utilizaba técnicas de evasión basadas en el protocolo de hipertexto HTTP.
En esta oportunidad, la empresa ha descubierto un nuevo procedimiento al analizar una variante de Ursnif anexa a un documento cifrado de Word que a su vez contiene archivos VBS cargados de archivos DLL malignos. DLL, o bibliotecas de enlaces dinámicos o bibliotecas de enlaces dinámicos son archivos con código ejecutable que se cargan por el sistema operativo a petición de un programa específico.
El mensaje de correo electrónico que incluye el documento Word maligno incorpora una contraseña que permite abrirlo. Una vez abierto, presenta tres iconos con la extensión “.docx” que induce a los usuarios a hacer doble clic directamente en ellos. Sin embargo, no se trata de documentos Word sino de scripts VBS (Visual Basic) que, una vez activados, descargan malware desde dos dominios.
Las DLL malignas contienen grandes cantidades de código de abultamiento, cuya finalidad es ofuscar los intentos de análisis realizado por software de seguridad. Una vez conseguido este propósito, los archivos son ejecutados, procediendo a realizar procedimientos de detección de sandboxing y de máquinas virtuales, entre otros.
Control Anti-sandboxing
En su análisis, ForcePoint escribe que el malware intenta detectar movimientos del ratón estableciendo sus coordenadas. Al conseguirlo, evita entornos de sandbox, donde el puntero del ratón permanece inmóvil. El procedimiento implica que al detectar un entorno de sandboxing, Urniff bloquea la ejecución del troyano. Por el contrario, al detectar un entorno humano, activa el malware.
