Brazil banki trójai kapcsolók terjesztési módja
Elsősorban Brazíliában használt banki trójai váltotta meg játékát. Korábban elsősorban pornográfia útján terjesztették, a trójai, amely több különböző néven szerepel, megtette az evolúciós lépést az adathalász e-mail kampányok útján.
A dél-amerikai országban székhellyel rendelkező áldozatokat célzó banki trójai programot különböző kutatási csoportok néhány különböző dolognak nevezték. Néhány ilyen név Ousaban és Javali. Az általános egyetértés szerint ugyanaz a trójai 2018 óta forgalomban van.
Ezt azonban korábban pornográf képek segítségével terjesztették. Ezért egy másik kutatócsoport Ousabannak nevezi a rosszindulatú programot - egy portmanteau kifejezés, amely egyesíti a portugál "merészség" és "bankolás" szót.
A banki trójai program kíváncsian a Delphi-ben íródott - manapság nem a legelterjedtebb programozási nyelv, de népszerű a dél-amerikai rosszindulatú programok fejlesztői körében.
Az Ousaban forgalmazási módszerének változása nemrégiben történt. A rosszindulatú programot most rosszindulatú adathalász e-mailek segítségével terjesztik. Az adathalász levelek rosszindulatú mellékleteinek megnyitására használt témák általában visszaélnek a hamis kézbesítési értesítésekkel.
A melléklet általában MSI telepítőcsomag. A végrehajtás után az MSI telepítő telepít egy JavaScript letöltőt, amely viszont megkap egy normál alkalmazást tartalmazó archív fájlt.
A trükk az, hogy a rosszindulatú program a rosszindulatú banki trójai programot is telepíti, a DLL oldalbetöltésének nevezett technikát használva. Ez magában foglalja a rosszindulatú teher telepítését, amelyre aztán egy jogos alkalmazás hivatkozik.
Funkcionalitását tekintve az Ousaban rendelkezik a szokásos banki trójaiak összes fogásával. Naplózást rögzíthet, képernyőképeket készíthet, kiszűrheti a felhasználói információkat, és szimulálhatja az egér és a billentyűzet tevékenységét.
A trójai képernyőfedvényeket használ, amikor a felhasználó meglátogat egy banki webhelyet, és hitelesítő adatokat kezd beírni, hatékonyan ellopva a bejelentkezési információkat. Az egyik különbség, amely megkülönbözteti Ousabant a dél-amerikai áldozatoknál használt egyéb banki trójai programoktól, az a képesség, hogy az e-mail fiókokból is ellopja a bejelentkezési adatokat.
A fertőzött rendszer állandóságának biztosítása érdekében a trójai vagy létrehoz egy .lnk parancsikont, vagy egy VBS betöltőt, amely a rendszer indítási könyvtárába kerül. Obfuscation is jelen van, a rosszindulatú hasznos terhek néha fantasztikus 400 MB méretűek, csak a súlyos obfúzus miatt.