Distribueringsmetode for brasiliansk bank Trojan Switches

En banktrojan, der primært bruges i Brasilien, har skiftet sit spil. Tidligere distribueret primært via pornografi har Trojan, der går under flere forskellige navne, gjort det evolutionære skridt til at blive spredt gennem phishing-e-mail-kampagner.

Bank-trojanen målrettet mod ofre med base i det sydamerikanske land er blevet kaldt et par forskellige ting af forskellige forskningsgrupper. Nogle af disse navne inkluderer Ousaban og Javali. Den generelle enighed er, at den samme trojan har været i omløb siden 2018.

Det blev dog tidligere distribueret ved hjælp af pornografiske billeder. Dette er grunden til, at en anden gruppe forskere kalder malware Ousaban - et portmanteau-udtryk, der kombinerer det portugisiske ord for "dristighed" og "bank".

Bank Trojan er nysgerrig skrevet i Delphi - ikke det mest almindelige programmeringssprog i dag, men populært blandt malwareudviklere i Sydamerika.

Ændringen i distributionsmetode for Ousaban er for nylig. Malware spredes nu ved hjælp af ondsindede phishing-e-mails. Emnerne, der bruges til at få ofre til at åbne de ondsindede vedhæftede filer i phishing-mailen, misbruger normalt falske leveringsmeddelelser.

Vedhæftningen er normalt en MSI-installationspakke. Når det udføres, installerer MSI-installationsprogrammet en JavaScript-downloader, som igen griber en arkivfil, der indeholder en normal applikation.

Tricket er, at malware også installerer den ondsindede bank Trojan ved hjælp af en teknik kaldet DLL side-loading. Det indebærer plantning af den ondsindede nyttelast, som derefter påberåbes af en legitim applikation.

Med hensyn til funktionalitet har Ousaban alt det, der findes i almindelige banktrojanere. Det kan logge tastetryk, fange skærmbilleder, exfiltrere brugeroplysninger og simulere mus og tastaturaktivitet.

Trojanen bruger skærmoverlejringer, når brugeren rammer et bankwebsite og begynder at indtaste legitimationsoplysninger, hvilket effektivt stjæler loginoplysningerne. En forskel, der adskiller Ousaban fra andre bank-trojanske heste, der bruges på sydamerikanske ofre, er dens evne til også at stjæle loginoplysninger fra e-mail-konti.

For at sikre vedholdenhed på det inficerede system opretter Trojan enten en .lnk-genvej eller en VBS-loader, der er placeret i systemets startmappe. Forblødning er også til stede, hvor de ondsindede nyttelast til tider når en fantastisk 400 MB i størrelse, bare på grund af den tunge obfuskation.

May 5, 2021

Cyclonis Backup

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.