Brazil banki trójai kapcsolók terjesztési módja

Elsősorban Brazíliában használt banki trójai váltotta meg játékát. Korábban elsősorban pornográfia útján terjesztették, a trójai, amely több különböző néven szerepel, megtette az evolúciós lépést az adathalász e-mail kampányok útján.

A dél-amerikai országban székhellyel rendelkező áldozatokat célzó banki trójai programot különböző kutatási csoportok néhány különböző dolognak nevezték. Néhány ilyen név Ousaban és Javali. Az általános egyetértés szerint ugyanaz a trójai 2018 óta forgalomban van.

Ezt azonban korábban pornográf képek segítségével terjesztették. Ezért egy másik kutatócsoport Ousabannak nevezi a rosszindulatú programot - egy portmanteau kifejezés, amely egyesíti a portugál "merészség" és "bankolás" szót.

A banki trójai program kíváncsian a Delphi-ben íródott - manapság nem a legelterjedtebb programozási nyelv, de népszerű a dél-amerikai rosszindulatú programok fejlesztői körében.

Az Ousaban forgalmazási módszerének változása nemrégiben történt. A rosszindulatú programot most rosszindulatú adathalász e-mailek segítségével terjesztik. Az adathalász levelek rosszindulatú mellékleteinek megnyitására használt témák általában visszaélnek a hamis kézbesítési értesítésekkel.

A melléklet általában MSI telepítőcsomag. A végrehajtás után az MSI telepítő telepít egy JavaScript letöltőt, amely viszont megkap egy normál alkalmazást tartalmazó archív fájlt.

A trükk az, hogy a rosszindulatú program a rosszindulatú banki trójai programot is telepíti, a DLL oldalbetöltésének nevezett technikát használva. Ez magában foglalja a rosszindulatú teher telepítését, amelyre aztán egy jogos alkalmazás hivatkozik.

Funkcionalitását tekintve az Ousaban rendelkezik a szokásos banki trójaiak összes fogásával. Naplózást rögzíthet, képernyőképeket készíthet, kiszűrheti a felhasználói információkat, és szimulálhatja az egér és a billentyűzet tevékenységét.

A trójai képernyőfedvényeket használ, amikor a felhasználó meglátogat egy banki webhelyet, és hitelesítő adatokat kezd beírni, hatékonyan ellopva a bejelentkezési információkat. Az egyik különbség, amely megkülönbözteti Ousabant a dél-amerikai áldozatoknál használt egyéb banki trójai programoktól, az a képesség, hogy az e-mail fiókokból is ellopja a bejelentkezési adatokat.

A fertőzött rendszer állandóságának biztosítása érdekében a trójai vagy létrehoz egy .lnk parancsikont, vagy egy VBS betöltőt, amely a rendszer indítási könyvtárába kerül. Obfuscation is jelen van, a rosszindulatú hasznos terhek néha fantasztikus 400 MB méretűek, csak a súlyos obfúzus miatt.