Distribueringsmetode for brasiliansk bank Trojan Switches

En banktrojan, der primært bruges i Brasilien, har skiftet sit spil. Tidligere distribueret primært via pornografi har Trojan, der går under flere forskellige navne, gjort det evolutionære skridt til at blive spredt gennem phishing-e-mail-kampagner.

Bank-trojanen målrettet mod ofre med base i det sydamerikanske land er blevet kaldt et par forskellige ting af forskellige forskningsgrupper. Nogle af disse navne inkluderer Ousaban og Javali. Den generelle enighed er, at den samme trojan har været i omløb siden 2018.

Det blev dog tidligere distribueret ved hjælp af pornografiske billeder. Dette er grunden til, at en anden gruppe forskere kalder malware Ousaban - et portmanteau-udtryk, der kombinerer det portugisiske ord for "dristighed" og "bank".

Bank Trojan er nysgerrig skrevet i Delphi - ikke det mest almindelige programmeringssprog i dag, men populært blandt malwareudviklere i Sydamerika.

Ændringen i distributionsmetode for Ousaban er for nylig. Malware spredes nu ved hjælp af ondsindede phishing-e-mails. Emnerne, der bruges til at få ofre til at åbne de ondsindede vedhæftede filer i phishing-mailen, misbruger normalt falske leveringsmeddelelser.

Vedhæftningen er normalt en MSI-installationspakke. Når det udføres, installerer MSI-installationsprogrammet en JavaScript-downloader, som igen griber en arkivfil, der indeholder en normal applikation.

Tricket er, at malware også installerer den ondsindede bank Trojan ved hjælp af en teknik kaldet DLL side-loading. Det indebærer plantning af den ondsindede nyttelast, som derefter påberåbes af en legitim applikation.

Med hensyn til funktionalitet har Ousaban alt det, der findes i almindelige banktrojanere. Det kan logge tastetryk, fange skærmbilleder, exfiltrere brugeroplysninger og simulere mus og tastaturaktivitet.

Trojanen bruger skærmoverlejringer, når brugeren rammer et bankwebsite og begynder at indtaste legitimationsoplysninger, hvilket effektivt stjæler loginoplysningerne. En forskel, der adskiller Ousaban fra andre bank-trojanske heste, der bruges på sydamerikanske ofre, er dens evne til også at stjæle loginoplysninger fra e-mail-konti.

For at sikre vedholdenhed på det inficerede system opretter Trojan enten en .lnk-genvej eller en VBS-loader, der er placeret i systemets startmappe. Forblødning er også til stede, hvor de ondsindede nyttelast til tider når en fantastisk 400 MB i størrelse, bare på grund af den tunge obfuskation.

May 5, 2021
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.