Forcepoint安全研究員稱，Ursnif銀行木馬又出新變種，融入基于鼠標(biāo)位置和文件時間戳的反沙箱功能，可盜取雷鳥(Thunderbird)郵件客戶端數(shù)據(jù)。

Ursnif惡意軟件家族至少自2013年起便已面世，主要用于盜取包含密碼在內(nèi)的敏感信息。最近的變種被觀察到在測試各種沙箱逃逸技術(shù)。

新發(fā)現(xiàn)的變種通過惡意郵件投放，郵件附件為加密Word文檔，正文則給出了該文檔的明文密碼。惡意文檔中包含數(shù)個經(jīng)過混淆處理的VBS文件，旨在通過WMI加載惡意DLL。

該附件一被解密，就會釋放出3個OLE文檔圖標(biāo)，后綴名顯示為“docx”，引誘用戶直接雙擊這些文件。但實(shí)際上，這是3個VBS腳本，打包了用大量垃圾腳本高度混淆過的代碼，其中的正常邏輯淹沒在垃圾腳本中讓人無從發(fā)現(xiàn)。

感染過程中會釋放一個DLL，用以自查完整性，然后執(zhí)行反沙箱和反虛擬機(jī)檢查，創(chuàng)建自啟動注冊表鍵形成駐留，再將自身注入到“explorer.exe”進(jìn)程中。

新惡意軟件變體的反沙箱算法，用當(dāng)前鼠標(biāo)坐標(biāo)與之前記錄的鼠標(biāo)坐標(biāo)之間的差異，來檢測鼠標(biāo)移動——因?yàn)樯诚洵h(huán)境中鼠標(biāo)是不動的。坐標(biāo)差值再用來“暴力破解”其自身解密密鑰。

該解密密鑰是用來解碼API、隱藏PE文件、同步對象、注冊表數(shù)據(jù)、URL的全局常量。第2個DLL文件會從自身數(shù)據(jù)段抽取出另一個PE文件(也是DLL文件)，釋放到臨時緩沖區(qū)里，注入到“explorer.exe”進(jìn)程中。

解碼操作在運(yùn)行時完成，意味著內(nèi)存分析器抓取不到該惡意軟件內(nèi)存的整個明文字符串流。