巴西银行木马交换机分配方法

主要在巴西使用的银行木马已经改变了游戏规则。以前主要通过色情内容进行分发的特洛伊木马(具有不同的名称)已经迈出了逐步发展的一步,已通过网络钓鱼电子邮件活动进行传播。

针对南美国家的受害者的银行木马被不同的研究小组称为不同的东西。其中一些名称包括Ousaban和Javali。普遍的共识是,自2018年以来,该木马一直在流通。

但是,以前使用色情图片进行分发。这就是为什么另一组研究人员将恶意软件Ousaban称为Portmanteau的一个术语,结合了葡萄牙语的“大胆”和“银行”字样。

奇怪的是,银行木马是用Delphi编写的-目前不是最常用的编程语言,但在南美的恶意软件开发人员中很流行。

Ousaban的分配方式已发生变化。现在,该恶意软件正在使用恶意网络钓鱼电子邮件进行传播。用于诱使受害者打开网络钓鱼邮件中的恶意附件的主题通常是在滥用虚假的传递通知。

附件通常是MSI安装程序包。执行后,MSI安装程序将部署一个JavaScript下载程序,然后下载包含正常应用程序的存档文件。

诀窍在于,该恶意软件还使用一种称为DLL侧载的技术来安装恶意银行木马。它涉及植入恶意有效负载,然后由合法应用程序调用。

在功能方面,Ousaban具有常规银行木马的所有陷阱。它可以记录击键,捕获屏幕快照,泄露用户信息以及模拟鼠标和键盘活动。

当用户访问银行网站并开始输入凭据时,该木马会使用屏幕覆盖,从而有效地窃取了登录信息。 Ousaban与南美受害者使用的其他银行木马不同的一个区别是,它也能够从电子邮件帐户中窃取登录凭据。

为了确保在受感染系统上的持久性,特洛伊木马要么创建.lnk快捷方式,要么将VBS加载程序放置在系统启动目录中。还存在混淆,仅由于沉重的混淆,恶意有效负载有时会达到惊人的400 MB大小。

May 5, 2021