Müstehcen görüntülerle yayılan bankacılık truva atı

Siber güvenlik şirketi ESET bankacılık truva atlarını ortaya çıkarmaya devam ediyor. ESET telemetrisine nazaran Latin Amerika’da, Brezilya’da tehdit ögesi olan Ousaban berbat emelli yazılımı birtakım kaynaklara nazaran Avrupa’da da etkin durumda.

ESET, Portekizce’de “cesaret” manasına gelen “ousadia” ve “bankacılık truva atı” sözlerini bir ortaya getirerek bu berbat gayeli yazılım ailesine “Ousaban” ismini verdi. Ousaban, yazılımın yayılması gayesiyle müstehcen imajlar kullanma yüreği gösteriyor. Makus emelli yazılımın gayesi tanınan e-posta hizmetlerinden kimlik bilgilerini çalmak.

ESET, 2018 yılından bu yana etkin ve daima gelişme gösteren bu berbat emelli yazılım ailesini bir müddettir izliyordu. Ousaban’ın art kapı maharetleri, fare ve klavye hareketlerinin yanı sıra tuş vuruşlarını taklit etmesiyle tipik bir Latin Amerika bankacılık truva atının marifetleriyle benzerlik gösteriyor. Ayrıyeten Ousaban, maksat için özel olarak oluşturulan bindirme pencereleri yoluyla finans kuruluşlarının kullanıcılarına saldırması bakımından da Latin Amerika bankacılık truva atlarıyla misal davranışlar gösteriyor. Lakin Ousaban’ın maksatları, emsal e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazır bindirme pencereleri bulunuyor.

Amaç kimlik avı

Ousaban’ı araştıran ESET grubunun koordinatörü Jakub Souček bu durumu şöyle açıkladı: “Ousaban, çok kolay bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI’yı yürütmek üzere yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor. Ousaban, başlangıç evrakında bir LNK evrakı yahut kolay bir VBS yükleyici oluşturur yahut Windows kayıt Yürütme anahtarını değiştirir. Ayrıyeten, Ousaban ikili karıştırıcılar sayesinde yürütülebilir belgelerini korur ve tespit edilmekten kaçınmak ve otomatik olarak sürece devam etmek üzere ortalama 400 MB’lık EXE belgelerine kadar genişler.”

Kaynak: (BHA) – Beyaz Haber Ajansı