Исследователи пишут, что малварь распространяется вполне традиционно: посредством документов Office и вредоносных макросов. Однако эксперты заметили, что эта версия Ursnif использует новые методы обнаружения виртуальных машин, песочниц и других инструментов, которые используют ИБ-специлисты. В частности, троян следит за передвижениями курсора мыши, и если тот остается неподвижным долгое время (что обычно случается во время различных сканирований и тестов), малварь понимает, что ее пытаются изучать.
Семейство Ursnif впервые было замечено еще в 2013 году, оно фокусировалось на краже личных данных пользователей, включая пароли. За прошедшие годы исследователи не раз обнаруживали, что Ursnif адаптировал для киберкриминальных нужд новые техники и использует весьма необычные методы обхода обнаружения. К примеру, летом 2016 года малварь одной из первых начала использовать Tor для связи с управляющими серверами. Тем же летом специалисты обнаружили, что вредонос применяет целый комплекс техник, которые помогают ему избежать обнаружения. Среди них:
Обнаруженная аналитиками Forcepoint версия Ursnif отличается от своих предшественником не только тем, чем следит за движениями курсора. Малварь похищает не учетные данные банков, а контакты и пароли из почтового клиента Mozilla Thunderbird. Эксперты полагают, что в будущем троян научится воровать информацию из других приложений и почтовых клиентов, хотя цель операторов Ursnif пока не совсем ясна.