Braziliaanse banktrojan wisselt van distributiemethode

Een banktrojan die voornamelijk in Brazilië wordt gebruikt, heeft zijn spel veranderd. De Trojan, die voorheen voornamelijk via pornografie werd verspreid, heeft de evolutionaire stap gemaakt om via phishing-e-mailcampagnes te worden verspreid.

De bank-trojan die zich richt op slachtoffers in het Zuid-Amerikaanse land, wordt door verschillende onderzoeksgroepen een paar verschillende dingen genoemd. Sommige van die namen zijn onder meer Ousaban en Javali. De algemene consensus is dat dezelfde Trojan sinds 2018 in omloop is.

Eerder werd het echter verspreid met pornografische afbeeldingen. Dit is de reden waarom een andere groep onderzoekers de malware Ousaban noemt - een samenraapselterm die het Portugese woord voor "durf" en "bankieren" combineert.

De banktrojan is merkwaardig geschreven in Delphi - tegenwoordig niet de meest voorkomende programmeertaal, maar populair bij malware-ontwikkelaars in Zuid-Amerika.

De wijziging in de distributiemethode voor Ousaban is recent. De malware wordt nu verspreid via kwaadaardige phishing-e-mails. De onderwerpen die worden gebruikt om slachtoffers ertoe te brengen de kwaadaardige bijlagen in de phishing-mail te openen, zijn meestal misbruik van valse bezorgmeldingen.

De bijlage is meestal een MSI-installatiepakket. Wanneer uitgevoerd, implementeert het MSI-installatieprogramma een JavaScript-downloader, die op zijn beurt een archiefbestand oppakt dat een normale toepassing bevat.

De truc is dat de malware ook de kwaadaardige banktrojan installeert, met behulp van een techniek die DLL-side-loading wordt genoemd. Het omvat het planten van de kwaadaardige payload, die vervolgens wordt aangeroepen door een legitieme toepassing.

Qua functionaliteit heeft Ousaban alle attributen van reguliere banktrojans. Het kan toetsaanslagen loggen, screenshots maken, gebruikersinformatie exfiltreren en muis- en toetsenbordactiviteit simuleren.

De Trojan gebruikt schermoverlays wanneer de gebruiker een bankwebsite bezoekt en inloggegevens begint in te voeren, waardoor de inloggegevens effectief worden gestolen. Een verschil dat Ousaban onderscheidt van andere banktrojans die worden gebruikt voor Zuid-Amerikaanse slachtoffers, is de mogelijkheid om ook inloggegevens van e-mailaccounts te stelen.

Om persistentie op het geïnfecteerde systeem te garanderen, maakt de Trojan een .lnk-snelkoppeling of een VBS-lader die in de opstartmap van het systeem wordt geplaatst. Verduistering is ook aanwezig, waarbij de kwaadaardige ladingen soms een fantastische grootte van 400 MB bereiken, alleen vanwege de zware verduistering.

May 5, 2021

Cyclonis-Backup

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.