[ad_1]
ESET, 2018 yılından bu yana etken ve devamlı gelişme gösteren bu fena amaçlı yazılım ailesini bir süredir izliyordu. Ousaban’ın arka kapı becerileri, fare ve klavye hareketlerinin yanı sıra tuş vuruşlarını yansılamak etmesiyle tipik bir Latin ABD bankacılık truva atının becerileriyle benzerlik gösteriyor. Ek olarak Ousaban, hedef için hususi olarak oluşturulan bindirme pencereleri yöntemiyle finans kurumlarının kullanıcılarına saldırması bakımından da Latin ABD bankacılık truva atlarıyla benzer davranışlar gösteriyor. Sadece Ousaban’ın hedefleri, benzer e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazır bindirme pencereleri bulunuyor.
Hedef kimlik avı
Ousaban’ı araştıran ESET ekibinin koordinatörü Jakub Soucek bu durumu şöyleki açıkladı: “Ousaban, oldukca rahat bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI’yı yürütmek suretiyle yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor. Ousaban, başlangıç dosyasında bir LNK dosyası yada rahat bir VBS yükleyici oluşturur yada Windows kayıt Yürütme anahtarını değiştirir. Ek olarak, Ousaban ikili karıştırıcılar yardımıyla yürütülebilir dosyalarını korur ve tespit edilmekten kaçınmak ve otomatikman işleme devam etmek suretiyle averaj 400 MB’lık EXE dosyalarına kadar genişler.”
[ad_2]
