Troyano bancario Ousaban presente dentro del panorama latinoamericano

Investigadores de ESET han rastreado a los desarrolladores del troyano bancario Ousaban (también conocido como Javali), que estaría activo en Brasil y posiblemente en Europa. El malware se enfoca principalmente en robar credenciales de instituciones financieras y, atípico para un troyano bancario latinoamericano, también de servicios de correo electrónico populares.

 Troyano bancario Ousaban 

Ousaban, al igual que muchos troyanos bancarios latinoamericanos, está escrito en Delphi y se encuentra con signos de un desarrollo activo y continuo. 

El nombre de Ousaban fue asignado por investigadores de ESET, que hace alusión a una combinación de dos palabras: " ousa dia" que significa "audacia" en portugués y "ban king trojan". Al mismo tiempo se le conoce también como Javali, nombre que fue asignado por investigadores de Kaspersky.

Características Principales

• Ousaban protege sus ejecutables con ofuscadores binarios Themida o Enigma.
• Además, la mayoría de los EXE se amplían utilizando relleno binario de aproximadamente 400 MB, que probablemente sea para evadir la detección y el procesamiento automatizado.
• Las variantes más recientes de Ousaban contienen una tabla para contener sus cadenas, almacenando esta tabla en sus secciones .RSRC 
• Uno de los recursos contiene una lista comprimida en ZLIB de cadenas delimitadas por caracteres de nueva línea.
• Sus capacidades de puerta trasera son muy similares a las de un típico troyano bancario latinoamericano:
  • Simula acciones de mouse y teclado y registra las pulsaciones de teclas.
  • Las últimas variantes se comunican con los servidores de C&C mediante RealThinClient, un protocolo que también utiliza Grandoreiro.
• El típico troyano bancario latinoamericano ataca a los usuarios de instituciones financieras utilizando ventanas superpuestas diseñadas específicamente para sus objetivos y Ousaban no es una excepción.
• Adicionalmente, se han evidenciado ataques a objetivos que incluyen varios servicios de correo electrónico para los que también tiene listas las ventanas superpuestas.
• Para lograr la persistencia, Ousaban crea un archivo LNK o un cargador VBS simple en la carpeta de inicio o modifica la clave ejecutar del registro de Windows.

Distribución y ejecución

Ousaban se distribuye principalmente a través de correos electrónicos de phishing. El actor de amenazas detrás de Ousaban recorre múltiples cadenas de distribución. Estas cadenas comparten algunas características comunes. 

MSI con JavaScript

Nueva cadena de distribución

Recientemente, se ha evidenciado una nueva cadena de distribución mucho más complicada en la cual las dos primeras etapas se mantienen casi idénticas a lo conocido. En ambos, el núcleo del escenario está contenido en un archivo (ZIP o CAB) y contiene:

• Una aplicación legítima
• Un inyector encriptado
• Un descargador encriptado
• Un archivo de configuración encriptado
• Archivos legítimos

La aplicación legítima, cuando se ejecuta, carga lateralmente el inyector. El inyector localiza, descifra y ejecuta el descargador. El descargador descifra el archivo de configuración para obtener una URL que conduce a una configuración remota. La configuración remota contiene una URL que conduce al archivo de la siguiente etapa. El descargador descarga el archivo de la siguiente etapa, extrae su contenido y ejecuta la aplicación legítima.

Panorama

Ousaban también conocido como Javali,  comparte varias similitudes con otros troyanos bancarios latinoamericanos analizados como es el uso del mismo algoritmo de descifrado de cadenas, descargadores con el mismo código de ofuscación de cadenas que Amavaldo, uso de los mismos anuncios maliciosos que Mispadu en el pasado y los archivos de JavaScript que utiliza son similares a Vadokrist , Mekotio , Casbaneiro y Guildma.

Esta variante del troyano bancario registra una importante actividad en Brasil y posiblemente ya ha dado el salto a otros lugares fuera de la región como México y Europa. Además, en un aspecto aún más complejo, los expertos advierten de la posibilidad de que estas familias de troyanos bancarios provenientes de Brasil compartan varias similitudes atribuibles a un esfuerzo de colaboración entre múltiples actores de amenazas.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.