Ousaban(也称为Javali)是仅针对巴西的银行木马家族,自2017年起活跃至今。与其他大多数活跃于拉丁美洲的银行木马类似,Ousaban使用伪造的银行页面窃取用户凭证,差异之处在于,Ousaban的开发职员扩展了伪造页面的使用场景,把窃取局限进一步拓展到邮件服务中。本文将主要先容Ousaban的焦点功效,以及它与其他拉丁美洲银行木马家族的关联。

特征

Ousaban是用Delphi编写的,这点与大多数拉丁美洲银行木马相同。早期Ousaban的分发常与 *** 绑定(如图1所示),而近期则不再云云。

图1. 早期Ousaban的分发常与 *** 绑定

Ousaban使用Themida或Enigma二进制混淆器来珍爱可执行文件,还使用二进制填充将大多数EXE扩展到400 MB左右,目的应该是为了逃避检测。它的后门功效和通讯方式与典型的拉丁美洲银行木马异常相似,后门能模拟鼠标和键盘操作并纪录输入。最新的变种使用了RealThinClient与C&C服务器通讯,RealThinClient也是Grandoreiro银行木马所使用的。

典型的拉丁美洲银行木马会为目的金融机构专门设计伪造诈骗页面,Ousaban也不破例,差异之处在于后者的目的还包罗了数个电子邮件服务,也设计了类似的伪造窗口,如图2所示。

图2. UOL电子邮件服务的伪造窗口设计

Ousaban有数种方式实现持久性:要么在启动文件夹中确立一个LNK文件或一个简朴的VBS加载器,要么修改Windows注册表运行键。

分发与执行

Ousaban通过钓鱼邮件举行流传(例如图3中的邮件),可能有多莳植入方式,这些植入步骤具有一些配合的特征,主要是:

· DLL侧加载用于执行二进制有用负载

· 存档文件为CAB或ZIP花样

· 下一阶段需要上一阶段的存档中的设置文件

· 可能使用Ousaban独占的注入器

图3.最近分发Ousaban的垃圾邮件(右侧提供了一个大略的翻译) 

带有JavaScript的MSI

如图4所示,此条流传链异常简朴:受害人被诱骗执行钓鱼邮件附件的MSI,MSI执行后将启动嵌入式JavaScript下载器,下载器下载ZIP存档并提取其内容,通过执行正当的应用程序来加载Ousaban银行木马。

图4.Ousaban分发链

多级MSI

近期,ESET平安团队考察到了正大规模流传Ousaban的新植入链,它比上面形貌阶段的步骤要庞大得多,整个历程如图5所示。

前两个阶段险些相同,这两个阶段的焦点文件都包罗在ZIP或CAB存档中,其中有:

· 一个正当的应用程序

· 一个加密的注入器

· 一个加密下载器

· 加密的设置文件

· 其他正当文件

正当应用程序在执行时会侧加载注入器,注入器定位、解密并执行下载器。下载器解密设置文件以获得指向远程设置的URL。远程设置包罗指向下一个阶段存档的URL。下载器下载下一阶段的存档,提取其内容并执行正当的应用程序。

最后阶段略有差异,是解密并执行现实的Ousaban银行木马程序,而不是下载程序。第三个设置文件指导使用C&C服务器IP地址和端口的远程设置。上一个阶段的存档文件包罗另一个与恶意软件相关的文件——一个可以更改受害者机械的种种设置的支持模块。最后,所有三个阶段的存档都有包罗分外的文件——第一阶段存档中的一个正当的可执行文件,第二阶段存档中的14个正当文件,第三阶段存档中的13个正当文件加上一个嵌入的存档,其中包罗另外102个正当文件。

,

USDT跑分平台

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

,

图5. Ousaban的庞大分发链

支持模块

Ousaban加载此模块使攻击者更容易毗邻到受害者的机械。它的作用主要是:

· 修改RDP设置以使用RDPWrap,RDPWrap允许多个RDP毗邻到Windows操作系统的Home版本

· 修改防火墙设置以允许所有RDP毗邻

· 确立一个具有治理权限的新帐户

该模块包罗存储在其.rsrc节中的RDPWrap二进制文件,由它直接在Windows注册表中更改RDP设置:

HKLM \ SYSTEM \ CurrentControlSet \ Services \ TermService \
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \

然后此模块使用netsh.exe修改Windows防火墙,以允许所有定向到端口3389(RDP的尺度端口)的TCP和UDP通讯,最后确立一个具有治理特权的新帐户Administrat0r。我们假设攻击者是想要用另一种方式接见受害者的机械,不受Ousaban银行木马的能力限制,可以执行任何恶意流动。

加密

Ousaban总体上使用三种加密方案。对字符串的加密与大多数拉丁美洲银行木马使用的算法相同(算法细述加入此处https://www.welivesecurity.com/2019/10/03/ca *** aneiro-trojan-dangerous-cooking/)。 Ousaban及其C&C服务器之间的所有通讯均使用带有硬编码密钥的尺度AES密码举行加密。

最后的算法用于前面提到的注入器,我们提供了一个Python实现,如下所示:

def decrypt(data, key):
data_dec = str()
key_len = len(key)
for i, c in enumerate(data):
if i % 2 != 0:
data_dec += chr(key[i % key_len ^ c ^ ((key_len - (i & key_len)) & 0xFF)])
else
data_dec += chr(key[i % key_len] ^ c ^ (i & 0xFF))
 
return data_dec

远程设置

Ousaban依赖远程设置来获取其下一级URL以及要使用的C&C地址和端口。Ousaban曾经将其远程设置存储在YouTube上,类似于Ca *** aneiro,但最近它最先使用Google Docs。

远程设置为JSON花样,值由用于字符串的相同算法加密,但使用差其余密钥。字段寄义如下:

host = C&C域

link =下一阶段的URL

porta = C&C端口或0(然后使用默认的HTTP端口80)

vers = Ousaban版本

图6和图7提供了远程设置的示例。

 

图6. YouTube上的Ousaban远程设置

 

图7. Google Docs上的Ousaban远程设置

与其他拉美银行木马的相似之处

除了使用相同的字符串加解密算法外,也包罗如下相似之处:

· 某些Ousaban下载程序包罗与Amavaldo相同的字符串混淆代码

· Ousaban曾通过与Mispadu相同的恶意广告举行分发

· Ousaban使用的JavaScript文件类似于Vadokrist,Mekotio,Ca *** aneiro和Guildma

· Ousaban少数分发的PowerShell文件(除了本文中形貌的最近的方式)类似于Amavaldo,Ca *** aneiro和Mekotio

结论

本文主要先容了仅针对巴西的银行木马Ousaban,它具有其他拉丁美洲银行木马的典型特征——用Delphi编写、伪造银行页面诱骗用户输入凭证等,解释Ousaban或许也与其他拉丁美洲银行木马的背后团队有所关联。

本文翻译自:https://www.welivesecurity.com/2021/05/05/ousaban-private-photo-collection-hidden-cabinet/

FiLecoin官网

FiLecoin官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

USDT官网接口声明:该文看法仅代表作者自己,与本平台无关。转载请注明:chia云挖矿(www.chia8.vip):针对巴西的银行木马Ousaban先容
发布评论

分享到:

欧博亚洲电脑版下载(www.aLLbetgame.us):华为的5G+AR碰撞
1 条回复
  1. USDT官网接口
    USDT官网接口
    (2021-06-20 00:04:04) 1#


    U交所
    这个,得开启防沉迷了

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。