Müstehcen görüntülerle yayilan bankacilik truva ati

Siber güvenlik sirketi ESET  bankacilik truva atlarini ortaya çikarmaya devam ediyor. ESET telemetrisine göre Latin Amerika’da, Brezilya’da tehdit unsuru olan Ousaban kötü amaçli yazilimi bazi kaynaklara göre Avrupa’da da aktif durumda. 

ESET, Portekizce’de “cesaret” anlamina gelen “ousadia” ve “bankacilik truva ati” kelimelerini bir araya getirerek bu kötü amaçli yazilim ailesine “Ousaban” ismini verdi. Ousaban, yazilimin yayilmasi amaciyla müstehcen görüntüler kullanma cesareti gösteriyor. Kötü amaçli yazilimin hedefi popüler e-posta hizmetlerinden kimlik bilgilerini çalmak. 

ESET, 2018 yilindan bu yana aktif ve sürekli gelisme gösteren bu kötü amaçli yazilim ailesini bir süredir izliyordu. Ousaban’in arka kapi becerileri, fare ve klavye hareketlerinin yani sira tus vuruslarini taklit etmesiyle tipik bir Latin Amerika bankacilik truva atinin becerileriyle benzerlik gösteriyor. Ayrica Ousaban, hedef için özel olarak olusturulan bindirme pencereleri yoluyla finans kuruluslarinin kullanicilarina saldirmasi bakimindan da Latin Amerika bankacilik truva atlariyla benzer davranislar gösteriyor. Ancak Ousaban’in hedefleri, benzer e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazir bindirme pencereleri bulunuyor.

Hedef kimlik avi 

Ousaban’i arastiran ESET ekibinin koordinatörü Jakub Soucek bu durumu söyle açikladi: “Ousaban, çok basit bir dagitim zinciri kullanarak kimlik avi e-postalari ile yayiliyor. Kurban, kimlik avi e-postasinin ekindeki bir MSI’yi yürütmek üzere yanlis yönlendiriliyor. MSI yürütüldügünde yasal bir uygulama, bir enjektör ve sifreli Ousaban içeren bir ZIP arsivini indirip içindekileri çikaran gömülü bir JavaScript indiriciyi baslatiyor. DLL yan yana yükleme kullanan bankacilik truva atinin sifresi sonunda çözülüyor ve yürütülüyor. Ousaban, baslangiç dosyasinda bir LNK dosyasi veya basit bir VBS yükleyici olusturur veya Windows kayit Yürütme anahtarini degistirir. Ayrica, Ousaban ikili karistiricilar sayesinde yürütülebilir dosyalarini korur ve tespit edilmekten kaçinmak ve otomatik olarak isleme devam etmek üzere ortalama 400 MB’lik EXE dosyalarina kadar genisler.”