Metodo di distribuzione degli interruttori trojan bancari brasiliani

Un trojan bancario utilizzato principalmente in Brasile ha cambiato il suo gioco. In precedenza distribuito principalmente attraverso la pornografia, il Trojan, che ha diversi nomi, ha compiuto il passo evolutivo per essere diffuso attraverso campagne di posta elettronica di phishing.

Il trojan bancario che prende di mira le vittime con sede nel paese sudamericano è stato chiamato in modo diverso da diversi gruppi di ricerca. Alcuni di questi nomi includono Ousaban e Javali. Il consenso generale è che lo stesso Trojan sia in circolazione dal 2018.

Tuttavia, è stato precedentemente distribuito utilizzando immagini pornografiche. Questo è il motivo per cui un altro gruppo di ricercatori chiama il malware Ousaban, un termine portmanteau che combina la parola portoghese per "audacia" e "banca".

Il Trojan bancario è curiosamente scritto in Delphi, non il linguaggio di programmazione più comune al giorno d'oggi, ma popolare tra gli sviluppatori di malware in Sud America.

Il cambiamento nel metodo di distribuzione per Ousaban è recente. Il malware viene ora diffuso utilizzando e-mail di phishing dannose. Gli argomenti utilizzati per indurre le vittime ad aprire gli allegati dannosi nella posta di phishing di solito utilizzano in modo improprio le notifiche di recapito false.

L'allegato è solitamente un pacchetto di installazione MSI. Quando viene eseguito, il programma di installazione MSI distribuisce un downloader JavaScript, che a sua volta acquisisce un file di archivio che contiene una normale applicazione.

Il trucco è che il malware installa anche il Trojan bancario dannoso, utilizzando una tecnica chiamata caricamento laterale della DLL. Implica il posizionamento del payload dannoso, che viene quindi richiamato da un'applicazione legittima.

In termini di funzionalità, Ousaban ha tutte le caratteristiche dei normali trojan bancari. Può registrare sequenze di tasti, acquisire schermate, estrarre informazioni sull'utente e simulare l'attività del mouse e della tastiera.

Il Trojan utilizza gli overlay dello schermo quando l'utente accede a un sito Web bancario e inizia a inserire le credenziali, rubando efficacemente le informazioni di accesso. Una differenza che distingue Ousaban dagli altri trojan bancari utilizzati sulle vittime sudamericane è la sua capacità di rubare le credenziali di accesso anche dagli account di posta elettronica.

Per garantire la persistenza sul sistema infetto, il Trojan crea un collegamento .lnk o un caricatore VBS che vengono inseriti nella directory di avvio del sistema. È presente anche l'offuscamento, con i payload dannosi che a volte raggiungono una dimensione fantastica di 400 MB, proprio a causa del pesante offuscamento.