Braziliaanse banktrojan wisselt van distributiemethode

Een banktrojan die voornamelijk in Brazilië wordt gebruikt, heeft zijn spel veranderd. De Trojan, die voorheen voornamelijk via pornografie werd verspreid, heeft de evolutionaire stap gemaakt om via phishing-e-mailcampagnes te worden verspreid.

De bank-trojan die zich richt op slachtoffers in het Zuid-Amerikaanse land, wordt door verschillende onderzoeksgroepen een paar verschillende dingen genoemd. Sommige van die namen zijn onder meer Ousaban en Javali. De algemene consensus is dat dezelfde Trojan sinds 2018 in omloop is.

Eerder werd het echter verspreid met pornografische afbeeldingen. Dit is de reden waarom een andere groep onderzoekers de malware Ousaban noemt - een samenraapselterm die het Portugese woord voor "durf" en "bankieren" combineert.

De banktrojan is merkwaardig geschreven in Delphi - tegenwoordig niet de meest voorkomende programmeertaal, maar populair bij malware-ontwikkelaars in Zuid-Amerika.

De wijziging in de distributiemethode voor Ousaban is recent. De malware wordt nu verspreid via kwaadaardige phishing-e-mails. De onderwerpen die worden gebruikt om slachtoffers ertoe te brengen de kwaadaardige bijlagen in de phishing-mail te openen, zijn meestal misbruik van valse bezorgmeldingen.

De bijlage is meestal een MSI-installatiepakket. Wanneer uitgevoerd, implementeert het MSI-installatieprogramma een JavaScript-downloader, die op zijn beurt een archiefbestand oppakt dat een normale toepassing bevat.

De truc is dat de malware ook de kwaadaardige banktrojan installeert, met behulp van een techniek die DLL-side-loading wordt genoemd. Het omvat het planten van de kwaadaardige payload, die vervolgens wordt aangeroepen door een legitieme toepassing.

Qua functionaliteit heeft Ousaban alle attributen van reguliere banktrojans. Het kan toetsaanslagen loggen, screenshots maken, gebruikersinformatie exfiltreren en muis- en toetsenbordactiviteit simuleren.

De Trojan gebruikt schermoverlays wanneer de gebruiker een bankwebsite bezoekt en inloggegevens begint in te voeren, waardoor de inloggegevens effectief worden gestolen. Een verschil dat Ousaban onderscheidt van andere banktrojans die worden gebruikt voor Zuid-Amerikaanse slachtoffers, is de mogelijkheid om ook inloggegevens van e-mailaccounts te stelen.

Om persistentie op het geïnfecteerde systeem te garanderen, maakt de Trojan een .lnk-snelkoppeling of een VBS-lader die in de opstartmap van het systeem wordt geplaatst. Verduistering is ook aanwezig, waarbij de kwaadaardige ladingen soms een fantastische grootte van 400 MB bereiken, alleen vanwege de zware verduistering.

May 5, 2021