Méthode de distribution des commutateurs bancaires brésiliens

Un cheval de Troie bancaire utilisé principalement au Brésil a changé de jeu. Auparavant distribué principalement par le biais de la pornographie, le cheval de Troie, qui porte plusieurs noms différents, a franchi une étape évolutive pour se propager par le biais de campagnes de phishing par e-mail.

Le cheval de Troie bancaire ciblant les victimes basé dans le pays d'Amérique du Sud a été appelé de différentes manières par différents groupes de recherche. Certains de ces noms incluent Ousaban et Javali. Le consensus général est que le même cheval de Troie est en circulation depuis 2018.

Cependant, il était auparavant distribué à l'aide d'images pornographiques. C'est pourquoi un autre groupe de chercheurs appelle le malware Ousaban - un terme valise combinant le mot portugais pour «audace» et «banque».

Le cheval de Troie bancaire est curieusement écrit en Delphi - pas le langage de programmation le plus courant de nos jours, mais populaire auprès des développeurs de logiciels malveillants en Amérique du Sud.

Le changement de méthode de distribution pour Ousaban est récent. Le malware se propage maintenant à l'aide d'e-mails de phishing malveillants. Les sujets utilisés pour inciter les victimes à ouvrir les pièces jointes malveillantes dans le courrier de phishing abusent généralement de fausses notifications de livraison.

La pièce jointe est généralement un package d'installation MSI. Lorsqu'il est exécuté, le programme d'installation MSI déploie un téléchargeur JavaScript, qui à son tour saisit un fichier d'archive contenant une application normale.

L'astuce est que le logiciel malveillant installe également le cheval de Troie bancaire malveillant, en utilisant une technique appelée chargement latéral DLL. Il s'agit de planter la charge utile malveillante, qui est ensuite invoquée par une application légitime.

En termes de fonctionnalité, Ousaban a tous les attributs des chevaux de Troie bancaires classiques. Il peut enregistrer les frappes au clavier, capturer des captures d'écran, exfiltrer les informations utilisateur et simuler l'activité de la souris et du clavier.

Le cheval de Troie utilise des superpositions d'écran lorsque l'utilisateur accède à un site Web bancaire et commence à entrer ses informations d'identification, volant efficacement les informations de connexion. Une différence qui distingue Ousaban des autres chevaux de Troie bancaires utilisés sur les victimes sud-américaines est sa capacité à voler également les informations de connexion des comptes de messagerie.

Pour garantir la persistance sur le système infecté, le cheval de Troie crée un raccourci .lnk ou un chargeur VBS qui est placé dans le répertoire de démarrage du système. L'obfuscation est également présente, les charges utiles malveillantes atteignant parfois une taille fantastique de 400 Mo, juste à cause de la lourde obfuscation.

Par Zaib
May 5, 2021
Computer Security
Français
May 5, 2021
Computer Security

Articles Populaires

«123456» et «password» sont toujours les pires mots de passe...

Il y a 5 years

Les cybercriminels utilisent le spam sur le thème du...

Il y a 3 years

Cybercrooks profite de la pandémie mondiale pour tirer parti...

Il y a 3 years

Escroquerie contextuelle "Trafic réseau anormal sur cet appareil"

Il y a 24 days
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Mentions légales

Cyclonis Backup's EULA Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis Password Manager's Terms of Service Cyclonis World Time's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Cyclonis Limited's Discount Terms Cyclonis Limited's Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2023 Cyclonis Ltd. CYCLONIS est une marque commerciale de Cyclonis Ltd. Tous droits réservés.

Siège social: 3 Castle Street, Penthouse, Dublin D02KF25, Irlande.
Cyclonis Limited, Private Company Limited par actions, numéro d'enregistrement de la société 574974.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.