Müstehcen Görüntülerle Yayılan Bankacılık Truva Atı
Portekizce’de “cesaret” anlamına gelen “ousadia” ve “bankacılık truva atı” kelimelerini bir araya getirerek bu kötü amaçlı yazılım ailesine “Ousaban” ismini verildi. Ousaban, yazılımın yayılması amacıyla müstehcen görüntüler kullanma cesareti gösteriyor. Kötü amaçlı yazılımın hedefi popüler e-posta hizmetlerinden kimlik bilgilerini çalmak.
2018 yılından bu yana aktif ve sürekli gelişme gösteren bu kötü amaçlı yazılım ailesi bir süredir izleniyor. Ousaban’ın arka kapı becerileri, fare ve klavye hareketlerinin yanı sıra tuş vuruşlarını taklit etmesiyle tipik bir Latin Amerika bankacılık truva atının becerileriyle benzerlik gösteriyor. Ayrıca Ousaban, hedef için özel olarak oluşturulan bindirme pencereleri yoluyla finans kuruluşlarının kullanıcılarına saldırması bakımından da Latin Amerika bankacılık truva atlarıyla benzer davranışlar gösteriyor. Ancak Ousaban’ın hedefleri, benzer e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazır bindirme pencereleri bulunuyor.
Hedef kimlik avı
Ousaban’ı araştıran ekibinin koordinatörü Jakub Souček bu durumu şöyle açıkladı: “Ousaban, çok basit bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI’yı yürütmek üzere yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor.
Ousaban, başlangıç dosyasında bir LNK dosyası veya basit bir VBS yükleyici oluşturur veya Windows kayıt Yürütme anahtarını değiştirir. Ayrıca, Ousaban ikili karıştırıcılar sayesinde yürütülebilir dosyalarını korur ve tespit edilmekten kaçınmak ve otomatik olarak işleme devam etmek üzere ortalama 400 MB’lık EXE dosyalarına kadar genişler.”
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.