Siber güvenlik şirketi ESET bankacılık truva atlarını ortaya çıkarmaya devam ediyor. ESET telemetrisine nazaran Latin Amerika’da, Brezilya’da tehdit ögesi olan Ousaban berbat hedefli yazılımı kimi kaynaklara nazaran Avrupa’da da etkin durumda.
ESET, Portekizce’de “cesaret” manasına gelen “ousadia” ve “bankacılık truva atı” sözlerini bir ortaya getirerek bu berbat emelli yazılım ailesine “Ousaban” ismini verdi. Ousaban, yazılımın yayılması hedefiyle müstehcen imajlar kullanma hamaseti gösteriyor. Makus hedefli yazılımın gayesi tanınan e-posta hizmetlerinden kimlik bilgilerini çalmak.
ESET, 2018 yılından bu yana etkin ve daima gelişme gösteren bu makus gayeli yazılım ailesini bir müddettir izliyordu. Ousaban’ın art kapı maharetleri, fare ve klavye hareketlerinin yanı sıra tuş vuruşlarını taklit etmesiyle tipik bir Latin Amerika bankacılık truva atının marifetleriyle benzerlik gösteriyor. Ayrıyeten Ousaban, amaç için özel olarak oluşturulan bindirme pencereleri yoluyla finans kuruluşlarının kullanıcılarına saldırması bakımından da Latin Amerika bankacılık truva atlarıyla benzeri davranışlar gösteriyor. Lakin Ousaban’ın amaçları, benzeri e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazır bindirme pencereleri bulunuyor.
Hedef kimlik avı
Ousaban’ı araştıran ESET takımının koordinatörü Jakub Souček bu durumu şöyle açıkladı: “Ousaban, çok kolay bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI’yı yürütmek üzere yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor. Ousaban, başlangıç evrakında bir LNK belgesi yahut kolay bir VBS yükleyici oluşturur yahut Windows kayıt Yürütme anahtarını değiştirir. Ayrıyeten, Ousaban ikili karıştırıcılar sayesinde yürütülebilir belgelerini korur ve tespit edilmekten kaçınmak ve otomatik olarak sürece devam etmek üzere ortalama 400 MB’lık EXE belgelerine kadar genişler.”
Kaynak: (BHA) – Beyaz Haber Ajansı
