Metoda dystrybucji brazylijskich trojanów bankowych

Trojan bankowy używany głównie w Brazylii zmienił swoją grę. Wcześniej rozpowszechniany głównie za pośrednictwem pornografii trojan, który występuje pod kilkoma różnymi nazwami, wykonał ewolucyjny krok w kierunku rozprzestrzeniania się za pośrednictwem kampanii e-mailowych phishingowych.

Różne grupy badawcze nazywają trojanem bankowym atakującym ofiary z kraju południowoamerykańskiego kilkoma różnymi nazwami. Niektóre z tych nazw to Ousaban i Javali. Ogólny konsensus jest taki, że ten sam trojan jest w obiegu od 2018 roku.

Jednak wcześniej był rozpowszechniany za pomocą obrazów pornograficznych. Dlatego inna grupa badaczy nazywa szkodliwe oprogramowanie Ousaban - termin portmanteau łączący portugalskie słowo oznaczające „śmiałość” i „bankowość”.

Co ciekawe, trojan bankowy jest napisany w Delphi - nie jest obecnie najpopularniejszym językiem programowania, ale jest popularny wśród twórców szkodliwego oprogramowania w Ameryce Południowej.

Niedawna zmiana metody dystrybucji Ousaban. Złośliwe oprogramowanie jest teraz rozprzestrzeniane za pomocą złośliwych e-maili phishingowych. Tematy używane do nakłaniania ofiar do otwierania złośliwych załączników w wiadomościach phishingowych zwykle nadużywają fałszywych powiadomień o dostarczeniu.

Załącznikiem jest zwykle pakiet instalatora MSI. Po uruchomieniu instalator MSI wdraża program do pobierania JavaScript, który z kolei pobiera plik archiwum zawierający normalną aplikację.

Sztuczka polega na tym, że złośliwe oprogramowanie instaluje również złośliwego trojana bankowego, korzystając z techniki zwanej ładowaniem bocznym DLL. Polega na umieszczeniu złośliwego ładunku, który jest następnie wywoływany przez legalną aplikację.

Pod względem funkcjonalności Ousaban ma wszystkie pułapki typowe dla zwykłych trojanów bankowych. Może rejestrować naciśnięcia klawiszy, przechwytywać zrzuty ekranu, wydobywać informacje o użytkowniku oraz symulować aktywność myszy i klawiatury.

Trojan wykorzystuje nakładki ekranowe, gdy użytkownik odwiedza witrynę banku i zaczyna wprowadzać dane uwierzytelniające, skutecznie kradnąc dane logowania. Jedyną różnicą, która odróżnia Ousaban od innych trojanów bankowych wykorzystywanych na ofiarach z Ameryki Południowej, jest możliwość kradzieży danych logowania z kont e-mail.

Aby zapewnić trwałość w zainfekowanym systemie, trojan tworzy skrót .lnk lub program ładujący VBS, które są umieszczane w katalogu startowym systemu. Obecne jest również zaciemnianie, a złośliwe ładunki czasami osiągają fantastyczny rozmiar 400 MB, tylko z powodu dużego zaciemnienia.