Méthode de distribution des commutateurs bancaires brésiliens

Un cheval de Troie bancaire utilisé principalement au Brésil a changé de jeu. Auparavant distribué principalement par le biais de la pornographie, le cheval de Troie, qui porte plusieurs noms différents, a franchi une étape évolutive pour se propager par le biais de campagnes de phishing par e-mail.

Le cheval de Troie bancaire ciblant les victimes basé dans le pays d'Amérique du Sud a été appelé de différentes manières par différents groupes de recherche. Certains de ces noms incluent Ousaban et Javali. Le consensus général est que le même cheval de Troie est en circulation depuis 2018.

Cependant, il était auparavant distribué à l'aide d'images pornographiques. C'est pourquoi un autre groupe de chercheurs appelle le malware Ousaban - un terme valise combinant le mot portugais pour «audace» et «banque».

Le cheval de Troie bancaire est curieusement écrit en Delphi - pas le langage de programmation le plus courant de nos jours, mais populaire auprès des développeurs de logiciels malveillants en Amérique du Sud.

Le changement de méthode de distribution pour Ousaban est récent. Le malware se propage maintenant à l'aide d'e-mails de phishing malveillants. Les sujets utilisés pour inciter les victimes à ouvrir les pièces jointes malveillantes dans le courrier de phishing abusent généralement de fausses notifications de livraison.

La pièce jointe est généralement un package d'installation MSI. Lorsqu'il est exécuté, le programme d'installation MSI déploie un téléchargeur JavaScript, qui à son tour saisit un fichier d'archive contenant une application normale.

L'astuce est que le logiciel malveillant installe également le cheval de Troie bancaire malveillant, en utilisant une technique appelée chargement latéral DLL. Il s'agit de planter la charge utile malveillante, qui est ensuite invoquée par une application légitime.

En termes de fonctionnalité, Ousaban a tous les attributs des chevaux de Troie bancaires classiques. Il peut enregistrer les frappes au clavier, capturer des captures d'écran, exfiltrer les informations utilisateur et simuler l'activité de la souris et du clavier.

Le cheval de Troie utilise des superpositions d'écran lorsque l'utilisateur accède à un site Web bancaire et commence à entrer ses informations d'identification, volant efficacement les informations de connexion. Une différence qui distingue Ousaban des autres chevaux de Troie bancaires utilisés sur les victimes sud-américaines est sa capacité à voler également les informations de connexion des comptes de messagerie.

Pour garantir la persistance sur le système infecté, le cheval de Troie crée un raccourci .lnk ou un chargeur VBS qui est placé dans le répertoire de démarrage du système. L'obfuscation est également présente, les charges utiles malveillantes atteignant parfois une taille fantastique de 400 Mo, juste à cause de la lourde obfuscation.

May 5, 2021