Μέθοδος διανομής διακόπτη τραπεζών Βραζιλίας

Ένας τραπεζικός Trojan που χρησιμοποιείται κυρίως στη Βραζιλία έχει αλλάξει το παιχνίδι του. Στο παρελθόν, που διανέμεται κυρίως μέσω πορνογραφίας, ο Trojan, ο οποίος πηγαίνει με πολλά διαφορετικά ονόματα, έκανε το εξελικτικό βήμα να εξαπλωθεί μέσω καμπανιών ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος (phishing).

Το τραπεζικό Trojan που στοχεύει τα θύματα που εδρεύουν στη χώρα της Νότιας Αμερικής έχει κληθεί από διάφορα ερευνητικά γκρουπ από διαφορετικά πράγματα. Μερικά από αυτά τα ονόματα περιλαμβάνουν τους Ousaban και Javali. Η γενική συναίνεση είναι ότι το ίδιο Trojan κυκλοφορεί από το 2018.

Ωστόσο, είχε διανεμηθεί προηγουμένως χρησιμοποιώντας πορνογραφικές εικόνες. Αυτός είναι ο λόγος για τον οποίο μια άλλη ομάδα ερευνητών αποκαλεί το κακόβουλο λογισμικό Ousaban - έναν όρο portmanteau που συνδυάζει την πορτογαλική λέξη για "τόλμη" και "τραπεζικές συναλλαγές".

Το banking Trojan γράφεται περίεργα στους Δελφούς - όχι την πιο κοινή γλώσσα προγραμματισμού στις μέρες μας, αλλά είναι δημοφιλές στους προγραμματιστές κακόβουλων προγραμμάτων στη Νότια Αμερική.

Η αλλαγή στη μέθοδο διανομής για το Ousaban είναι πρόσφατη. Το κακόβουλο λογισμικό εξαπλώνεται τώρα χρησιμοποιώντας κακόβουλα μηνύματα ηλεκτρονικού "ψαρέματος". Τα θέματα που χρησιμοποιούνται για να εξελίσσονται τα θύματα στο άνοιγμα των κακόβουλων συνημμένων στο ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος (phishing) είναι συνήθως κατάχρηση ειδοποιήσεων παράδοσης.

Το συνημμένο είναι συνήθως ένα πακέτο εγκατάστασης MSI. Όταν εκτελείται, το πρόγραμμα εγκατάστασης MSI αναπτύσσει ένα πρόγραμμα λήψης JavaScript, το οποίο με τη σειρά του αρπάζει ένα αρχείο αρχειοθέτησης που περιέχει μια κανονική εφαρμογή.

Το κόλπο είναι ότι το κακόβουλο λογισμικό εγκαθιστά επίσης τον κακόβουλο Trojan banking, χρησιμοποιώντας μια τεχνική που ονομάζεται DLL side-loading. Περιλαμβάνει τη φύτευση του κακόβουλου ωφέλιμου φορτίου, το οποίο στη συνέχεια καλείται από μια νόμιμη εφαρμογή.

Όσον αφορά τη λειτουργικότητα, ο Ousaban έχει όλες τις παγίδες των τακτικών τραπεζικών Τρώων. Μπορεί να καταγράψει πληκτρολογήσεις, να τραβήξει στιγμιότυπα οθόνης, να διεκπεραιώσει πληροφορίες χρήστη και να προσομοιώσει τη δραστηριότητα του ποντικιού και του πληκτρολογίου.

Το Trojan χρησιμοποιεί επικαλύψεις οθόνης όταν ο χρήστης χτυπήσει έναν τραπεζικό ιστότοπο και αρχίσει να εισάγει διαπιστευτήρια, κλέβοντας αποτελεσματικά τα στοιχεία σύνδεσης. Μία διαφορά που ξεχωρίζει το Ousaban από άλλα τραπεζικά Trojan που χρησιμοποιούνται σε θύματα της Νότιας Αμερικής είναι η ικανότητά του να κλέβει διαπιστευτήρια σύνδεσης και από λογαριασμούς email.

Για να διασφαλιστεί η επιμονή στο μολυσμένο σύστημα, το Trojan είτε δημιουργεί μια συντόμευση .lnk είτε ένα φορτωτή VBS που τοποθετείται μέσα στον κατάλογο εκκίνησης του συστήματος. Η συσκότιση είναι επίσης παρούσα, με τα κακόβουλα ωφέλιμα φορτία μερικές φορές να φτάνουν σε φανταστικό μέγεθος 400 MB, μόνο λόγω της βαριάς συσκότισης.

May 5, 2021