MÜSTEHCEN GÖRÜNTÜLERLE YAYILAN BANKACILIK TRUVA ATI

Siber güvenlik şirketi ESET  bankacılık truva atlarını ortaya çıkarmaya devam ediyor. ESET telemetrisine göre Latin Amerika’da, Brezilya’da tehdit unsuru olan Ousaban kötü amaçlı yazılımı bazı kaynaklara göre Avrupa’da da aktif durumda. 

ESET, Portekizce’de “cesaret” anlamına gelen “ousadia” ve “bankacılık truva atı” kelimelerini bir araya getirerek bu kötü amaçlı yazılım ailesine “Ousaban” ismini verdi. Ousaban, yazılımın yayılması amacıyla müstehcen görüntüler kullanma cesareti gösteriyor. Kötü amaçlı yazılımın hedefi popüler e-posta hizmetlerinden kimlik bilgilerini çalmak. 

ESET, 2018 yılından bu yana aktif ve sürekli gelişme gösteren bu kötü amaçlı yazılım ailesini bir süredir izliyordu. Ousaban’ın arka kapı becerileri, fare ve klavye hareketlerinin yanı sıra tuş vuruşlarını taklit etmesiyle tipik bir Latin Amerika bankacılık truva atının becerileriyle benzerlik gösteriyor. Ayrıca Ousaban, hedef için özel olarak oluşturulan bindirme pencereleri yoluyla finans kuruluşlarının kullanıcılarına saldırması bakımından da Latin Amerika bankacılık truva atlarıyla benzer davranışlar gösteriyor. Ancak Ousaban’ın hedefleri, benzer e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazır bindirme pencereleri bulunuyor.

Hedef kimlik avı 

Ousaban’ı araştıran ESET ekibinin koordinatörü Jakub Souček bu durumu şöyle açıkladı: “Ousaban, çok basit bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI’yı yürütmek üzere yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor. Ousaban, başlangıç dosyasında bir LNK dosyası veya basit bir VBS yükleyici oluşturur veya Windows kayıt Yürütme anahtarını değiştirir. Ayrıca, Ousaban ikili karıştırıcılar sayesinde yürütülebilir dosyalarını korur ve tespit edilmekten kaçınmak ve otomatik olarak işleme devam etmek üzere ortalama 400 MB’lık EXE dosyalarına kadar genişler.”