Brasilianischer Banking-Trojaner wechselt die Verteilungsmethode

Ein hauptsächlich in Brasilien eingesetzter Bankentrojaner hat sein Spiel auf den Kopf gestellt. Der Trojaner, der zuvor hauptsächlich über Pornografie verbreitet wurde und unter verschiedenen Namen geführt wird, hat den Evolutionsschritt zur Verbreitung durch Phishing-E-Mail-Kampagnen vollzogen.

Der Banking-Trojaner, der auf Opfer im südamerikanischen Land abzielt, wurde von verschiedenen Forschungsgruppen als ein paar verschiedene Dinge bezeichnet. Einige dieser Namen sind Ousaban und Javali. Der allgemeine Konsens ist, dass derselbe Trojaner seit 2018 im Umlauf ist.

Es wurde jedoch zuvor mit pornografischen Bildern verbreitet. Aus diesem Grund nennt eine andere Forschergruppe die Malware Ousaban - ein Portmanteau-Begriff, der das portugiesische Wort für "Kühnheit" und "Bankwesen" kombiniert.

Der Banking-Trojaner ist seltsamerweise in Delphi geschrieben - heutzutage nicht die gebräuchlichste Programmiersprache, aber bei Malware-Entwicklern in Südamerika beliebt.

Die Änderung der Verteilungsmethode für Ousaban ist neu. Die Malware wird jetzt mithilfe bösartiger Phishing-E-Mails verbreitet. Die Themen, die verwendet werden, um Opfer zum Öffnen der böswilligen Anhänge in der Phishing-Mail zu bewegen, sind normalerweise der Missbrauch gefälschter Zustellbenachrichtigungen.

Der Anhang ist normalerweise ein MSI-Installationspaket. Bei der Ausführung stellt das MSI-Installationsprogramm einen JavaScript-Downloader bereit, der wiederum eine Archivdatei abruft, die eine normale Anwendung enthält.

Der Trick besteht darin, dass die Malware auch den böswilligen Banking-Trojaner mithilfe einer als DLL-Side-Loading bezeichneten Technik installiert. Dabei wird die böswillige Nutzlast gepflanzt, die dann von einer legitimen Anwendung aufgerufen wird.

In Bezug auf die Funktionalität verfügt Ousaban über alle Funktionen regulärer Banking-Trojaner. Es kann Tastenanschläge protokollieren, Screenshots erfassen, Benutzerinformationen herausfiltern und Maus- und Tastaturaktivitäten simulieren.

Der Trojaner verwendet Bildschirmüberlagerungen, wenn der Benutzer eine Bankwebsite aufruft und Anmeldeinformationen eingibt, wodurch die Anmeldeinformationen effektiv gestohlen werden. Ein Unterschied, der Ousaban von anderen Bank-Trojanern unterscheidet, die bei südamerikanischen Opfern eingesetzt werden, ist die Möglichkeit, Anmeldeinformationen auch von E-Mail-Konten zu stehlen.

Um die Persistenz auf dem infizierten System sicherzustellen, erstellt der Trojaner entweder eine .lnk-Verknüpfung oder einen VBS-Loader, die sich im Systemstartverzeichnis befinden. Es ist auch eine Verschleierung vorhanden, wobei die böswilligen Nutzdaten manchmal eine fantastische Größe von 400 MB erreichen, nur wegen der starken Verschleierung.

May 5, 2021