Müstehcen Görüntülerle Yayılan Bankacılık Truva Atı Keşfedildi
Siber güvenlik şirketi ESET bankacılık truva atlarını ortaya çıkarmaya devam ediyor. ESET telemetrisine göre Latin Amerika'da, Brezilya'da tehdit unsuru olan Ousaban kötü amaçlı yazılımı bazı kaynaklara göre Avrupa'da da aktif durumda.
ESET, 2018 yılından bu yana aktif ve sürekli gelişme gösteren bu
kötü amaçlı yazılım ailesini bir süredir izliyordu. Ousaban'ın arka
kapı becerileri, fare ve klavye hareketlerinin yanı sıra tuş
vuruşlarını taklit etmesiyle tipik bir Latin Amerika bankacılık
truva atının becerileriyle benzerlik gösteriyor. Ayrıca Ousaban,
hedef için özel olarak oluşturulan bindirme pencereleri yoluyla
finans kuruluşlarının kullanıcılarına saldırması bakımından da
Latin Amerika bankacılık truva atlarıyla benzer davranışlar
gösteriyor. Ancak Ousaban'ın hedefleri, benzer e-posta hizmetlerini
de içeriyor. Bu e-posta hizmetleri için de hazır bindirme
pencereleri bulunuyor.
Hedef kimlik avı
Ousaban'ı araştıran ESET ekibinin koordinatörü Jakub Soucek bu durumu şöyle açıkladı: "Ousaban, çok basit bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI'yı yürütmek üzere yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor. Ousaban, başlangıç dosyasında bir LNK dosyası veya basit bir VBS yükleyici oluşturur veya Windows kayıt Yürütme anahtarını değiştirir. Ayrıca, Ousaban ikili karıştırıcılar sayesinde yürütülebilir dosyalarını korur ve tespit edilmekten kaçınmak ve otomatik olarak işleme devam etmek üzere ortalama 400 MB'lık EXE dosyalarına kadar genişler."