Банковский троян Ousaban охотится на любителей «клубнички»
Банковский троян Ousaban охотится на любителей «клубнички»

Банковский троян Ousaban охотится на любителей «клубнички»

Эксперты выявили вредоносное ПО Ousaban, которое похищает учетные данные финансовых учреждений и популярных почтовых сервисов. Согласно данным телеметрии Eset, в основном Ousaban распространяется в Бразилии, а по информации некоторых источников, и в Европе.

Это семейство вредоносов получило название Ousaban, состоящее из двух слов – «ousadia» (с португальского – «смелость») и «banking trojan» («банковский троян»), из-за использования непристойных изображений для распространения.

По оценкам специалистов, семейство Ousaban активно по меньшей мере с 2018 г. В числе его возможностей – получение контроля над мышью и клавиатурой, а также считывание нажатий клавиш, что является типичным поведением для банковского трояна. Кроме этого, во время атаки на финансовые учреждения и несколько почтовых сервисов Ousaban использует наложение специально созданных окон.

«В основном Ousaban распространяется через фишинговые электронные письма. Путем обмана жертву заставляют запустить MSI-файл, прикрепленный к фишинговых письмам. Затем MSI запускает встроенный загрузчик JavaScript, который загружает ZIP-архив и распаковывает его содержимое – легитимное приложение, инжектор и зашифрованный Ousaban. В конце концов, банковский троян расшифровывается и запускается», – объясняет Якуб Соучек (Jakub Soucek), исследователь компании Eset.

Также стоит обратить внимание на способность банковского трояна оставаться в сети незамеченным. «Ousaban создает файл LNK или простой загрузчик VBS в папке автозагрузки, в другом случае он меняет ключ Run в реестре Windows, – комментирует исследователь Eset. – Кроме того, Ousaban защищает свои исполняемые файлы с помощью запутывания кода, а также увеличивает размер большинства EXE-документов примерно до 400 Мб, чтобы избежать обнаружения и автоматической обработки».

Источник материала
loader
loader