ブラジルの銀行のトロイの木馬スイッチの配布方法

主にブラジルで使用されているバンキング型トロイの木馬がゲームを切り替えました。以前は主にポルノを通じて配布されていましたが、いくつかの異なる名前で呼ばれるこのトロイの木馬は、フィッシングメールキャンペーンを通じて広まるための進化的な一歩を踏み出しました。

南米の国に拠点を置く被害者を標的とするバンキング型トロイの木馬は、さまざまな研究グループによっていくつかの異なるものと呼ばれています。それらの名前のいくつかには、OusabanとJavaliが含まれます。一般的なコンセンサスは、同じトロイの木馬が2018年から流通しているというものです。

ただし、以前はポルノ画像を使用して配布されていました。これが、別の研究者グループがマルウェアをOusabanと呼ぶ理由です。これは、ポルトガル語で「大胆さ」と「銀行」を組み合わせたかばん語です。

バンキング型トロイの木馬は、不思議なことにDelphiで書かれています。これは、今日最も一般的なプログラミング言語ではありませんが、南アメリカのマルウェア開発者に人気があります。

Ousabanの配布方法の変更は最近です。マルウェアは現在、悪意のあるフィッシングメールを使用して拡散しています。被害者を巻き込んでフィッシングメールの悪意のある添付ファイルを開くために使用されるトピックは、通常、偽の配信通知を悪用しています。

添付ファイルは通常、MSIインストーラーパッケージです。実行されると、MSIインストーラーはJavaScriptダウンローダーをデプロイし、JavaScriptダウンローダーは通常のアプリケーションを含むアーカイブファイルを取得します。

トリックは、マルウェアがDLLサイドローディングと呼ばれる手法を使用して悪意のあるバンキング型トロイの木馬もインストールすることです。これには、悪意のあるペイロードの植え付けが含まれ、その後、正当なアプリケーションによって呼び出されます。

機能面では、Ousabanには通常のバンキング型トロイの木馬のすべてのトラップがあります。キーストロークを記録し、スクリーンショットをキャプチャし、ユーザー情報を盗み出し、マウスとキーボードのアクティビティをシミュレートできます。

このトロイの木馬は、ユーザーが銀行のWebサイトにアクセスして資格情報の入力を開始すると、画面オーバーレイを使用して、ログイン情報を効果的に盗みます。南米の被害者に使用されている他のバンキング型トロイの木馬とOusabanを区別する1つの違いは、電子メールアカウントからもログイン資格情報を盗む機能です。

感染したシステムでの永続性を確保するために、このトロイの木馬は、システムの起動ディレクトリ内に配置される.lnkショートカットまたはVBSローダーを作成します。難読化も存在し、難読化が重いために、悪意のあるペイロードのサイズが幻想的な400MBに達することがあります。

May 5, 2021