Das könnte sich jetzt ändern, denn Sicherheitsforscher von Mandiant haben eine völlig neue Variante des Virus entdeckt und ihr den Namen LDR4 gegeben. Im Gegensatz zu den bisherigen Varianten scheint sich LDR4 nicht mehr nur als Banking-Trojaner zu betätigen, sondern verfügt über neue Fähigkeiten, die eher an Emotet oder Trickbot erinnern. Angreifer können so nicht nur Daten von infizierten Rechnern stehlen, sondern über die Malware außerdem Ransomware oder andere Schädlinge einschleusen. Die Schäden, die durch die neue Variante angerichtet werden könnten, übersteigen damit das bisherige Potenzial von Ursnif bei weitem.
Erstmals beobachtet wurde LDR4 bereits im Juni dieses Jahres. Bei der Verbreitung scheinen die Hintermänner keine Experimente machen zu wollen: Wie alle bisherigen Varianten (und viele, viele andere Viren) wird auch LDR4 per Phishing-Mail übertragen. Zumindest in einigen beobachteten Fällen gaben sich die Kriminellen als Recruiter aus, der angeblich ein interessantes Jobangebot für das anvisierte Opfer habe. Aus Datenschutzgründen sei es ihm leider nicht möglich, Details in der E-Mail zu nennen, aber man könne unter einem Link ein Dokument herunterladen, das alle wichtigen Informationen enthalte. Neben dieser mittlerweile recht verbreiteten Vorgehensweise, nutzen die Kriminellen außerdem ein Dokument, das sich als eine dringende Rechnung ausgibt und ebenfalls heruntergeladen werden soll. Folgt das Opfer dieser Aufforderung, wird die Ursnif-Payload heruntergeladen und die Kriminellen erhalten so Zugriff auf den Computer des Opfers.
Wer sich vor Ursnif schützen will, sollte die grundlegenden Sicherheitsregeln im Umgang mit dem Internet und vor allem mit E-Mails beherzigen. Gerade weil die Malware über eine Phishing-Kampagne verbreitet wird, unterscheiden sich die Schutzmaßnahmen nicht von denen gegenüber anderer Malware. Dazu gehört es auch, nicht einfach auf Links zu klicken, deren Herkunft und Ziel man nicht kennt. Das gilt auch für Dokumente und andere Anhänge in E-Mails. Darüber hinaus sollte man grundsätzlich nicht mit einem Admin-Profil im Netz arbeiten. So hat es Schadsoftware deutlich schwerer, sich überhaupt zu installieren und festzusetzen.