Méthode de distribution des commutateurs bancaires brésiliens

Un cheval de Troie bancaire utilisé principalement au Brésil a changé de jeu. Auparavant distribué principalement par le biais de la pornographie, le cheval de Troie, qui porte plusieurs noms différents, a franchi une étape évolutive pour se propager par le biais de campagnes de phishing par e-mail.

Le cheval de Troie bancaire ciblant les victimes basé dans le pays d'Amérique du Sud a été appelé de différentes manières par différents groupes de recherche. Certains de ces noms incluent Ousaban et Javali. Le consensus général est que le même cheval de Troie est en circulation depuis 2018.

Cependant, il était auparavant distribué à l'aide d'images pornographiques. C'est pourquoi un autre groupe de chercheurs appelle le malware Ousaban - un terme valise combinant le mot portugais pour «audace» et «banque».

Le cheval de Troie bancaire est curieusement écrit en Delphi - pas le langage de programmation le plus courant de nos jours, mais populaire auprès des développeurs de logiciels malveillants en Amérique du Sud.

Le changement de méthode de distribution pour Ousaban est récent. Le malware se propage maintenant à l'aide d'e-mails de phishing malveillants. Les sujets utilisés pour inciter les victimes à ouvrir les pièces jointes malveillantes dans le courrier de phishing abusent généralement de fausses notifications de livraison.

La pièce jointe est généralement un package d'installation MSI. Lorsqu'il est exécuté, le programme d'installation MSI déploie un téléchargeur JavaScript, qui à son tour saisit un fichier d'archive contenant une application normale.

L'astuce est que le logiciel malveillant installe également le cheval de Troie bancaire malveillant, en utilisant une technique appelée chargement latéral DLL. Il s'agit de planter la charge utile malveillante, qui est ensuite invoquée par une application légitime.

En termes de fonctionnalité, Ousaban a tous les attributs des chevaux de Troie bancaires classiques. Il peut enregistrer les frappes au clavier, capturer des captures d'écran, exfiltrer les informations utilisateur et simuler l'activité de la souris et du clavier.

Le cheval de Troie utilise des superpositions d'écran lorsque l'utilisateur accède à un site Web bancaire et commence à entrer ses informations d'identification, volant efficacement les informations de connexion. Une différence qui distingue Ousaban des autres chevaux de Troie bancaires utilisés sur les victimes sud-américaines est sa capacité à voler également les informations de connexion des comptes de messagerie.

Pour garantir la persistance sur le système infecté, le cheval de Troie crée un raccourci .lnk ou un chargeur VBS qui est placé dans le répertoire de démarrage du système. L'obfuscation est également présente, les charges utiles malveillantes atteignant parfois une taille fantastique de 400 Mo, juste à cause de la lourde obfuscation.

May 5, 2021
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.