Distribusjonsmetode for brasilianske banktrojaner

En banktrojan som hovedsakelig brukes i Brasil har skrudd opp spillet. Tidligere distribuert hovedsakelig gjennom pornografi, har Trojan, som har flere forskjellige navn, gjort det evolusjonære skrittet mot å bli spredt gjennom phishing-e-postkampanjer.

Banktrojanen som er rettet mot ofre basert i det søramerikanske landet, har blitt kalt noen forskjellige ting av forskjellige forskningsgrupper. Noen av disse navnene inkluderer Ousaban og Javali. Den generelle konsensus er at den samme trojanen har vært i omløp siden 2018.

Imidlertid ble den tidligere distribuert ved hjelp av pornografiske bilder. Dette er grunnen til at en annen gruppe forskere kaller skadelig programvare Ousaban - et portmanteau-begrep som kombinerer det portugisiske ordet for "dristighet" og "bank".

Bank-trojanen er nysgjerrig skrevet i Delphi - ikke det vanligste programmeringsspråket i dag, men populært blant malwareutviklere i Sør-Amerika.

Endringen i distribusjonsmetode for Ousaban er nylig. Skadelig programvare spres nå ved hjelp av ondsinnede phishing-e-poster. Temaene som brukes til å rulle ofre til å åpne de ondsinnede vedleggene i phishing-posten, misbruker vanligvis falske leveringsvarsler.

Vedlegget er vanligvis en MSI-installasjonspakke. Når MSI-installasjonsprogrammet kjøres, distribuerer det en JavaScript-nedlasting, som igjen tar tak i en arkivfil som inneholder et vanlig program.

Trikset er at skadelig programvare også installerer den ondsinnede banktrojanen, ved hjelp av en teknikk som kalles DLL side-loading. Det innebærer å plante den ondsinnede nyttelasten, som deretter påberopes av en legitim applikasjon.

Når det gjelder funksjonalitet, har Ousaban alt utstyret til vanlige banktrojanere. Det kan logge tastetrykk, fange skjermbilder, exfiltrere brukerinformasjon og simulere mus og tastaturaktivitet.

Trojanen bruker skjermoverlegg når brukeren treffer et banknettsted og begynner å legge inn legitimasjon, og stjeler påloggingsinformasjonen effektivt. En forskjell som skiller Ousaban fra andre banktrojanere som brukes på søramerikanske ofre, er dens evne til å stjele påloggingsinformasjon også fra e-postkontoer.

For å sikre utholdenhet på det infiserte systemet, oppretter Trojan enten en .lnk-snarvei eller en VBS-laster som er plassert i systemets oppstartkatalog. Forvirring er også til stede, med de ondsinnede nyttelastene som noen ganger når fantastiske 400 MB i størrelse, bare på grunn av den tunge forvirringen.