Método de Distribuição de Switches de Trojans Bancários Brasileiros

Um Trojan bancário usado principalmente no Brasil mudou seu jogo. Anteriormente distribuído principalmente por meio de pornografia, o Trojan, que tem vários nomes diferentes, deu um passo evolutivo para se espalhar por meio de campanhas de e-mail de phishing.

O cavalo de Troia bancário que visa as vítimas baseadas no país sul-americano tem sido chamado de várias coisas diferentes por diferentes grupos de pesquisa. Alguns desses nomes incluem Ousaban e Javali. O consenso geral é que o mesmo Trojan está em circulação desde 2018.

No entanto, ele foi distribuído anteriormente usando imagens pornográficas. É por isso que outro grupo de pesquisadores chama o malware de Ousaban - um termo que combina a palavra portuguesa para "ousadia" e "bancário".

O Trojan bancário é curiosamente escrito em Delphi - não a linguagem de programação mais comum hoje em dia, mas popular entre os desenvolvedores de malware na América do Sul.

A mudança no método de distribuição de Ousaban é recente. O malware agora está sendo espalhado por meio de e-mails de phishing maliciosos. Os tópicos usados para induzir as vítimas a abrir os anexos maliciosos no e-mail de phishing geralmente abusam de notificações de entrega falsas.

O anexo geralmente é um pacote de instalador MSI. Quando executado, o instalador MSI implanta um downloader JavaScript, que por sua vez pega um arquivo que contém um aplicativo normal.

O truque é que o malware também instala o Trojan bancário malicioso, usando uma técnica chamada de carregamento lateral de DLL. Envolve o plantio da carga maliciosa, que é então invocada por um aplicativo legítimo.

Em termos de funcionalidade, o Ousaban tem todas as armadilhas de Trojans bancários regulares. Ele pode registrar as teclas digitadas, capturar imagens, exfiltrar informações do usuário e simular a atividade do mouse e do teclado.

O Trojan usa sobreposições de tela quando o usuário acessa um site de banco e começa a inserir as credenciais, roubando efetivamente as informações de login. Uma diferença que diferencia o Ousaban de outros cavalos de Troia bancários usados em vítimas sul-americanas é sua capacidade de roubar credenciais de login de contas de e-mail também.

Para garantir a persistência no sistema infectado, o Trojan cria um atalho .lnk ou um carregador VBS que é colocado dentro do diretório de inicialização do sistema. A ofuscação também está presente, com as cargas maliciosas às vezes atingindo fantásticos 400 MB de tamanho, apenas por causa da ofuscação pesada.