Il malware Ursnif è nato nel 2007 come Trojan bancario, ma si è evoluto nel corso degli anni ed è rimasto una minaccia costante e persistente. Una delle sue funzionalità viene chiamata “persistenza dell’ultimo minuto” ed è un modo complicato per installare il payload del malware ed ha meno probabilità di essere rilevato, utilizzando i momenti immediatamente prima che la macchina si spenga e proprio quando la macchina si accende per eseguire il suo comandi. Un altro aggiornamento di Ursnif è il suo sofisticato processo di rilascio, utilizzando tecniche di phishing per invogliare il coinvolgimento degli utenti nel modo meno sospetto possibile, e quindi utilizzando un altro bot di banca inferiore come shell in cui Ursnif si nasconde finché non è sicuro di uscire. Se il malware rileva di trovarsi in una sandbox o in un altro ambiente in cui può essere studiato, Ursnif non verrà distribuito. Il bot avanzato può anche rubare più delle informazioni bancarie, accedere a determinate e-mail e browser e può raggiungere con le sue dita virtuali i portafogli di criptovaluta. Il malware bancario si diffonde spesso utilizzando esche e-mail in lingua madre. Tra molti paesi in tutto il mondo, il malware Ursnif ha avuto un impatto significativo in Italia. I ricercatori Avast hanno trovato nomi utente, password, carte di credito, dati bancari e informazioni di pagamento che sembrano essere stati rubati alle vittime di Ursnif dagli operatori di malware. C’erano anche prove di oltre 100 banche italiane prese di mira nelle informazioni ottenute e oltre 1.700 credenziali rubate per un unico processore di pagamento. Il team di ricerca ha condiviso queste informazioni con i processori di pagamento e le banche che hanno potuto identificare. Il team ha anche condiviso questo con i gruppi di condivisione delle informazioni sui servizi finanziari come CERTF in Italia.
