巴西銀行木馬交換機分配方法

主要在巴西使用的銀行木馬已經改變了遊戲規則。以前主要通過色情內容進行分發的特洛伊木馬(具有不同的名稱)已經邁出了逐步發展的一步,已通過網絡釣魚電子郵件活動進行傳播。

針對南美國家的受害者的銀行木馬被不同的研究小組稱為不同的東西。其中一些名稱包括Ousaban和Javali。普遍的共識是,自2018年以來,該木馬一直在流通。

但是,以前使用色情圖片進行分發。這就是為什麼另一組研究人員將惡意軟件Ousaban稱為Portmanteau的一個術語,結合了葡萄牙語中的“大膽”和“銀行”一詞。

奇怪的是,銀行木馬是用Delphi編寫的-當今不是最常用的編程語言,但在南美的惡意軟件開發人員中很流行。

Ousaban的分配方式已發生變化。現在,該惡意軟件正在使用惡意網絡釣魚電子郵件進行傳播。用於誘使受害者打開網絡釣魚郵件中的惡意附件的主題通常是在濫用虛假的傳遞通知。

附件通常是MSI安裝程序包。執行後,MSI安裝程序將部署一個JavaScript下載程序,然後下載包含正常應用程序的存檔文件。

訣竅在於,該惡意軟件還使用一種稱為DLL側載的技術來安裝惡意銀行木馬。它涉及植入惡意有效負載,然後由合法應用程序調用。

在功能方面,Ousaban具有常規銀行木馬的所有陷阱。它可以記錄擊鍵,捕獲屏幕快照,洩露用戶信息以及模擬鼠標和鍵盤活動。

當用戶訪問銀行網站並開始輸入憑據時,該木馬會使用屏幕覆蓋,從而有效地竊取了登錄信息。 Ousaban與南美受害者使用的其他銀行木馬不同的一個區別是,它也能夠從電子郵件帳戶中竊取登錄憑據。

為了確保在受感染系統上的持久性,特洛伊木馬要么創建.lnk快捷方式,要么將VBS加載程序放置在系統啟動目錄中。還存在混淆,僅由於沉重的混淆,惡意有效負載有時會達到驚人的400 MB大小。

May 5, 2021