2017年7月，安全研究人員發現新型Ursnif銀行木馬利用巧妙的技術規避沙盒環境和自動化虛擬機，并根據鼠標移動檢測真實用戶是否在與計算機交互。

它的總體思路是檢測鼠標光標的位置是否會移動，因為在安全測試與惡意軟件分析環境中，鼠標光標在整個掃描和分析過程中會停留在同一位置。

Ursnif慣用技巧

Ursnif銀行木馬已經成為新惡意軟件技術的滋生土壤。2016年夏天，Ursnif一直使用Tor匿名網絡隱藏命令與控制服務器（C&C Server）。Ursnif 在此期間還測試并部署了其它創新反檢測和虛擬機規避技術。以下是Ursif去年部署的技巧：

檢查文件名

提交用于分析的文件通常被重命名為它們的MD5或SHA256哈希值，且僅使用十六進制字符——0123456789ABCDEFabcdef。如果Ursnif發現本地文件包含字母、數字、字符，例如t、R或#，它便知道自己在普通PC上運行。

檢查本地PC的圖形界面應用程序

虛擬機運行少量進程，以及非常少的圖形界面進程。如果Ursnif樣本發現進程數少于50個，便會停止執行，并思考自己是否在虛擬機內。

檢查用戶的IP地址

Ursnif會獲取計算機的IP地址，并將其與安全公司或數據中心（研究人員租賃虛擬機的地方）分配的IP地址列表對照。

檢查最近打開的文件

Ursnif會檢查最近打開的文件數量。虛擬機上最近打卡的文件數量通常很少，因為沒有用戶使用該系統執行常規任務。

這些只是Ursnif去年部署的其中一些技巧。

通過三個嵌入式DLL文件進行部署

網絡安全公司Forcepoint分析了Ursnif最近一起活動后發現，新版Ursnif今年4月開始使用鼠標移動檢測技術。受害者會接收攜帶密碼保護ZIP文件的垃圾電子郵件。解壓此文件的受害者會看到三個Word文檔。Word文檔包含相同的惡意宏腳本。攻擊者使用三個文件提高用戶打開并遭遇感染的幾率。

如果允許運行宏，Word文檔會下載一個DLL文件，該文件會解壓成另一個DLL文件，之后解壓到第三個安裝銀行木馬的DLL文件。

鼠標移動軌跡不僅可以用來檢測是否存在真實操作用戶或虛擬機，還能被用來暴力破解第二個DLL文件中的加密密鑰，并用來獲取第三個DLL文件。總之，Ursnif攻擊者慣用這種高超 的技巧。

Ursnif 無意獲取銀行登錄憑證

該版Ursnif最不尋常的部分在于，它重點提取Mozilla Thunderbird電子郵件客戶端的聯系人和密碼，而非專注于竊取特定銀行的登錄憑證。

Forcepoint研究人員約吉高表示，該樣本使用Thunderbird相關功能的原因尚不清楚，這可能是Ursnif攻擊者首次嘗試此類活動，這可能意味著Ursnif會在今后的版本中涉及更多電子郵件客戶端或應用程序。