ESET, 2018 yฤฑlฤฑndan bu yana aktif ve sรผrekli geliลme gรถsteren bu kรถtรผ amaรงlฤฑ yazฤฑlฤฑm ailesini bir sรผredir izliyordu. Ousabanโฤฑn arka kapฤฑ becerileri, fare ve klavye hareketlerinin yanฤฑ sฤฑra tuล vuruลlarฤฑnฤฑ taklit etmesiyle tipik bir Latin Amerika bankacฤฑlฤฑk truva atฤฑnฤฑn becerileriyle benzerlik gรถsteriyor. Ayrฤฑca Ousaban, hedef iรงin รถzel olarak oluลturulan bindirme pencereleri yoluyla finans kuruluลlarฤฑnฤฑn kullanฤฑcฤฑlarฤฑna saldฤฑrmasฤฑ bakฤฑmฤฑndan da Latin Amerika bankacฤฑlฤฑk truva atlarฤฑyla benzer davranฤฑลlar gรถsteriyor. Ancak Ousabanโฤฑn hedefleri, benzer e-posta hizmetlerini de iรงeriyor. Bu e-posta hizmetleri iรงin de hazฤฑr bindirme pencereleri bulunuyor.
Hedef kimlik avฤฑ
Ousabanโฤฑ araลtฤฑran ESET ekibinin koordinatรถrรผ Jakub Souฤek bu durumu ลรถyle aรงฤฑkladฤฑ: โOusaban, รงok basit bir daฤฤฑtฤฑm zinciri kullanarak kimlik avฤฑ e-postalarฤฑ ile yayฤฑlฤฑyor. Kurban, kimlik avฤฑ e-postasฤฑnฤฑn ekindeki bir MSIโyฤฑ yรผrรผtmek รผzere yanlฤฑล yรถnlendiriliyor. MSI yรผrรผtรผldรผฤรผnde yasal bir uygulama, bir enjektรถr ve ลifreli Ousaban iรงeren bir ZIP arลivini indirip iรงindekileri รงฤฑkaran gรถmรผlรผ bir JavaScript indiriciyi baลlatฤฑyor. DLL yan yana yรผkleme kullanan bankacฤฑlฤฑk truva atฤฑnฤฑn ลifresi sonunda รงรถzรผlรผyor ve yรผrรผtรผlรผyor. Ousaban, baลlangฤฑรง dosyasฤฑnda bir LNK dosyasฤฑ veya basit bir VBS yรผkleyici oluลturur veya Windows kayฤฑt Yรผrรผtme anahtarฤฑnฤฑ deฤiลtirir. Ayrฤฑca, Ousaban ikili karฤฑลtฤฑrฤฑcฤฑlar sayesinde yรผrรผtรผlebilir dosyalarฤฑnฤฑ korur ve tespit edilmekten kaรงฤฑnmak ve otomatik olarak iลleme devam etmek รผzere ortalama 400 MBโlฤฑk EXE dosyalarฤฑna kadar geniลler.โ







