Investigadores de ESET han rastreado a los desarrolladores del troyano bancario Ousaban (también conocido como Javali), que estaría activo en Brasil y posiblemente en Europa. El malware se enfoca principalmente en robar credenciales de instituciones financieras y, atípico para un troyano bancario latinoamericano, también de servicios de correo electrónico populares.
Troyano bancario Ousaban
Ousaban, al igual que muchos troyanos bancarios latinoamericanos, está escrito en Delphi y se encuentra con signos de un desarrollo activo y continuo.
El nombre de Ousaban fue asignado por investigadores de ESET, que hace alusión a una combinación de dos palabras: " ousa dia" que significa "audacia" en portugués y "ban king trojan". Al mismo tiempo se le conoce también como Javali, nombre que fue asignado por investigadores de Kaspersky.
Características Principales
Distribución y ejecución
Ousaban se distribuye principalmente a través de correos electrónicos de phishing. El actor de amenazas detrás de Ousaban recorre múltiples cadenas de distribución. Estas cadenas comparten algunas características comunes.
MSI con JavaScript
Nueva cadena de distribución
Recientemente, se ha evidenciado una nueva cadena de distribución mucho más complicada en la cual las dos primeras etapas se mantienen casi idénticas a lo conocido. En ambos, el núcleo del escenario está contenido en un archivo (ZIP o CAB) y contiene:
La aplicación legítima, cuando se ejecuta, carga lateralmente el inyector. El inyector localiza, descifra y ejecuta el descargador. El descargador descifra el archivo de configuración para obtener una URL que conduce a una configuración remota. La configuración remota contiene una URL que conduce al archivo de la siguiente etapa. El descargador descarga el archivo de la siguiente etapa, extrae su contenido y ejecuta la aplicación legítima.
Panorama
Ousaban también conocido como Javali, comparte varias similitudes con otros troyanos bancarios latinoamericanos analizados como es el uso del mismo algoritmo de descifrado de cadenas, descargadores con el mismo código de ofuscación de cadenas que Amavaldo, uso de los mismos anuncios maliciosos que Mispadu en el pasado y los archivos de JavaScript que utiliza son similares a Vadokrist , Mekotio , Casbaneiro y Guildma.
Esta variante del troyano bancario registra una importante actividad en Brasil y posiblemente ya ha dado el salto a otros lugares fuera de la región como México y Europa. Además, en un aspecto aún más complejo, los expertos advierten de la posibilidad de que estas familias de troyanos bancarios provenientes de Brasil compartan varias similitudes atribuibles a un esfuerzo de colaboración entre múltiples actores de amenazas.
El Centro de Ciberinteligencia de Entel recomienda lo siguiente:
https://blog.eset.ie/2021/05/10/eset-resea... |
Tipo | Indicador |
---|---|
hash | 3c02cff7aa1784336ec96fce16c... |
hash | bdfa6dbba717b8faf4e0a049e90... |
SHA-1 | |
hash | C52BC5B0BDFC7D4C60DF60E8883... |
hash | D04ACFAF74861DDC3B12E756588... |
hash | 9A6A4BF3B6E974E367982E53957... |
hash | 3E8A0B6400F2D02B6B8CD917C27... |
hash | 6946BFB8A519FED8EC8C30D9A56... |
hash | E5DD2355E85B90D2D648B96C906... |