Niebezpieczny trojan ewoluował i atakuje skrzynki mailowe

Szkodliwe oprogramowanie, specjalizujące się w wykradaniu danych bankowych na terenie Brazylii, rozprzestrzenia się już nie tylko poprzez treści pornograficzne - na baczności muszą się mieć również użytkownicy skrzynek mailowych.

Niebezpieczny trojan ewoluował i atakuje skrzynki mailowe

Cyberbezpieczeństwo

Specjaliści z firmy Kaspersky rozpoznali trojana Ousaban jako Javali, czyli jeden z czterech głównych działających w Brazylii - wraz z Guildma, Melcoz i Grandoreiro. Wirus, rozprzestrzeniający się od około 2018, jest napisany w języku Delphi, czyli popularnym dla regionu Brazylii języku kodowania trojanów.

Z początku, głównym zagrożeniem były treści pornograficzne, które zachęcały nieświadome osoby do kliknięcia w niecenzuralne obrazki. Teraz trojan zaadoptował się w środowisku skrzynek mailowych i wykorzystuje tzw. "phishing" - metodę oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań.

Niebezpieczny trojan ewoluował i atakuje skrzynki mailowe

Antywirus Kaspersky

Jednym ze sposób dostania się złośliwego oprogramowania na nasze urządzenie jest wysyłanie fałszywych wiadomości o niepowodzeniu dostarczenia przesyłki i prośba o otwarcie załączonego pliku. Plik ten zawiera pakiet instalatora MSI Microsoft Windows.

Po uruchomieniu, plik aktywuje program do pobierania JavaScript, który pobiera archiwum .ZIP zawierające legalną aplikację oraz instaluje trojana poprzez side-loading plików .DLL. Ousaban posiada typowe możliwości trojana bankowego z Ameryki Łacińskiej, w tym instalację backdoora, keyloggera, wykonywanie zrzutów ekranu, symulację myszy i klawiatury oraz kradzież danych użytkownika.

Kiedy ofiary odwiedzają instytucje bankowe, nakładki ekranowe są wykorzystywane do zbierania danych uwierzytelniających konta. Jednak, co jest niezwykłe w przypadku złośliwego oprogramowania w regionie, Ousaban będzie również próbował ukraść nazwy użytkowników kont i hasła z usług poczty e-mail przy użyciu tej samej techniki nakładania.

Niebezpieczny trojan ewoluował i atakuje skrzynki mailowe

Antywirus ESET

Firma ESET twierdzi, że mechanizm trwałości trojana obejmuje utworzenie pliku .LNK lub programu ładującego VBS w folderze startowym systemu Windows lub alternatywnie, złośliwe oprogramowanie zmodyfikuje rejestr. Ponadto Ousaban wykorzystuje binarne zaciemnianie plików Themida lub Enigma w celu ukrycia swoich plików wykonywalnych.

Kaspersky podaje, że Javali / Ousaban wykroczył poza swoją brazylijską bazę mniej więcej w ciągu ostatniego roku, ale ESET nie znalazł jeszcze żadnych powiązań między trojanem a sugerowaną obecnością w Europie.

Pamiętaj, aby odpowiednio zabezpieczyć się przed szkodliwym oprogramowaniem. Poznaj nasz ranking TOP 10 antywirusów w 2021.