Brasilianischer Banking-Trojaner wechselt die Verteilungsmethode

Ein hauptsächlich in Brasilien eingesetzter Bankentrojaner hat sein Spiel auf den Kopf gestellt. Der Trojaner, der zuvor hauptsächlich über Pornografie verbreitet wurde und unter verschiedenen Namen geführt wird, hat den Evolutionsschritt zur Verbreitung durch Phishing-E-Mail-Kampagnen vollzogen.

Der Banking-Trojaner, der auf Opfer im südamerikanischen Land abzielt, wurde von verschiedenen Forschungsgruppen als ein paar verschiedene Dinge bezeichnet. Einige dieser Namen sind Ousaban und Javali. Der allgemeine Konsens ist, dass derselbe Trojaner seit 2018 im Umlauf ist.

Es wurde jedoch zuvor mit pornografischen Bildern verbreitet. Aus diesem Grund nennt eine andere Forschergruppe die Malware Ousaban - ein Portmanteau-Begriff, der das portugiesische Wort für "Kühnheit" und "Bankwesen" kombiniert.

Der Banking-Trojaner ist seltsamerweise in Delphi geschrieben - heutzutage nicht die gebräuchlichste Programmiersprache, aber bei Malware-Entwicklern in Südamerika beliebt.

Die Änderung der Verteilungsmethode für Ousaban ist neu. Die Malware wird jetzt mithilfe bösartiger Phishing-E-Mails verbreitet. Die Themen, die verwendet werden, um Opfer zum Öffnen der böswilligen Anhänge in der Phishing-Mail zu bewegen, sind normalerweise der Missbrauch gefälschter Zustellbenachrichtigungen.

Der Anhang ist normalerweise ein MSI-Installationspaket. Bei der Ausführung stellt das MSI-Installationsprogramm einen JavaScript-Downloader bereit, der wiederum eine Archivdatei abruft, die eine normale Anwendung enthält.

Der Trick besteht darin, dass die Malware auch den böswilligen Banking-Trojaner mithilfe einer als DLL-Side-Loading bezeichneten Technik installiert. Dabei wird die böswillige Nutzlast gepflanzt, die dann von einer legitimen Anwendung aufgerufen wird.

In Bezug auf die Funktionalität verfügt Ousaban über alle Funktionen regulärer Banking-Trojaner. Es kann Tastenanschläge protokollieren, Screenshots erfassen, Benutzerinformationen herausfiltern und Maus- und Tastaturaktivitäten simulieren.

Der Trojaner verwendet Bildschirmüberlagerungen, wenn der Benutzer eine Bankwebsite aufruft und Anmeldeinformationen eingibt, wodurch die Anmeldeinformationen effektiv gestohlen werden. Ein Unterschied, der Ousaban von anderen Bank-Trojanern unterscheidet, die bei südamerikanischen Opfern eingesetzt werden, ist die Möglichkeit, Anmeldeinformationen auch von E-Mail-Konten zu stehlen.

Um die Persistenz auf dem infizierten System sicherzustellen, erstellt der Trojaner entweder eine .lnk-Verknüpfung oder einen VBS-Loader, die sich im Systemstartverzeichnis befinden. Es ist auch eine Verschleierung vorhanden, wobei die böswilligen Nutzdaten manchmal eine fantastische Größe von 400 MB erreichen, nur wegen der starken Verschleierung.

May 5, 2021

Cyclonis Backup

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.