Способ распространения бразильских банковских троянцев-переключателей

Банковский троян, используемый в основном в Бразилии, изменил свою игру. Ранее распространяемый в основном через порнографию, троянец, известный под несколькими разными именами, сделал эволюционный шаг к распространению через фишинговые почтовые кампании.

Банковский троян, нацеленный на жертв из южноамериканской страны, был назван разными исследовательскими группами по-разному. Некоторые из этих имен включают Усабан и Джавали. По общему мнению, один и тот же троян находится в обращении с 2018 года.

Однако ранее он распространялся с использованием порнографических изображений. Вот почему другая группа исследователей называет вредоносное ПО Ousaban - термин, объединяющий португальские слова «смелость» и «банковское дело».

Банковский троянец, как ни странно, написан на Delphi - не самом распространенном в настоящее время языке программирования, но популярном среди разработчиков вредоносных программ в Южной Америке.

Изменение метода распределения для Усабана произошло недавно. В настоящее время вредоносное ПО распространяется с помощью вредоносных фишинговых писем. Темы, используемые для побуждения жертв к открытию вредоносных вложений в фишинговых письмах, обычно связаны с использованием поддельных уведомлений о доставке.

Вложение обычно представляет собой установочный пакет MSI. При запуске установщик MSI развертывает загрузчик JavaScript, который, в свою очередь, захватывает файл архива, содержащий обычное приложение.

Хитрость заключается в том, что вредоносная программа также устанавливает вредоносного банковского трояна, используя метод, называемый боковой загрузкой DLL. Он включает установку вредоносной полезной нагрузки, которая затем вызывается законным приложением.

Функционально Ousaban обладает всеми атрибутами обычных банковских троянцев. Он может регистрировать нажатия клавиш, делать снимки экрана, извлекать информацию о пользователях и имитировать действия мыши и клавиатуры.

Троянец использует наложения на экран, когда пользователь заходит на веб-сайт банка и начинает вводить учетные данные, эффективно похищая данные для входа. Одним из отличий, которое отличает Ousaban от других банковских троянцев, используемых на жертвах в Южной Америке, является его способность украсть учетные данные для входа в систему из учетных записей электронной почты.

Чтобы обеспечить постоянство в зараженной системе, троянец создает ярлык .lnk или загрузчик VBS, которые помещаются в системный каталог автозагрузки. Также присутствует обфускация, при этом вредоносные полезные данные иногда достигают фантастических 400 МБ размера только из-за сильной обфускации.