Ousaban - novi bankarni trojanac koji napada korisnike u Španiji i Portugaliji
Trojanca Ousaban napada korisnike banaka u Španiji i Portugaliji preko lažnih PDF dokumenata sa skrivenim malicioznim kodom.
Šta se desilo?
Istraživači kompanije Fortinet otkrili su novu kampanju brazilskog bankarnog trojanca Ousaban koja ciljno napada korisnike onlajn bankarstva u Španiji i Portugaliji. Napadi počinju sa lažnim PDF dokumentima koji se predstavljaju kao oštećene datoteke, a trojanca se prenosi korišćenjem tehnike steganografije - skrivanja malicioznog koda u slikama.
Koga pogađa?
Trojanca Ousaban direktno ciljuje korisnike Windows računara koji koriste onlajn bankarstvo. Posebno je opasna kampanja za klijente više od 20 banaka u Španiji i Portugaliji, uključujući Banco Santander, BBVA, CaixaBank, Bankinter i Caixa Geral de Depósitos. Napadači provere da li je korisnik stvarno u tim zemljama pre nego što dostave maliciozni kod, čime sprečavaju slučajne žrtve van ciljanog regions.
Kako se zaštititi?
- Budite oprezni sa PDF priložacima iz nepoznatih izvora ili neočekivanim porukama koje vas pozivaju da ažurirate nešto
- Nikada ne klikćite na dugmići u PDF dokumentima koji se predstavljaju kao oštećeni ili koji vas molite da potvrdite sve podatke
- Pazite na lažne poruke koje vas teraju da pritiskate "Atualizar" (Ažuriraj) bez jasnog razloga
- Čuvajte Windows operativni sistem redovno ažuriranim sa svim dostupnim bezbednosnim zakrkama
- Koristite pouzdanu antivirusnu zaštitu i redovno je ažurirajte
- Omogućite dvofaktorsku autentifikaciju na vašim bankarnim računima kad god je to moguće
- Proverite listu aktivnih programa i servisa koji se startuju sa Windows-om i uklonite sve nepoznate stavke
- Izbjegavajte korišćenje javnih WiFi mreža za bankarstvo
Tehnički detalji
Trojanca se isporučuje kroz phishing PDF sa ugrađenim JavaScript kodom koji može automatski otvoriti malicioznu veb-stranicu. Stranica prvo vrši detaljnu proveru korisnika - analizira IP adresu, sistemski jezyk, vremensku zonu, detektuje VPN i automatizovane alate bezbednosti. Samo korisnici iz Španije ili Portugalije dobiju mogućnost preuzimanja.
Maliciozni kod se krije u slici koja izgleda kao PDF ikona korišćenjem steganografije - skrivanja ZIP arhive unutar slike. Nakon ekstrakcije, trojanca se instalira i dodaje Windows Registry zapis sa imenom "Financeiro" što omogućava automatsko pokretanje sa svakim restartovanjem.
Trojanca prati aktivnosti na računaru kada korisnik otvori bankarnu veb-stranicu i omogućava: snimanje ekrana, beleženjeunos na tastaturu, izmenu clipboard-a, prikaz lažnih poruka i preuzimanje potpune kontrole nad računarom. Komandno-kontrolni server se maskira kroz Google Docs i menja svakodnevno korišćenjem dinamički generisanih adresa, što otežava blokiranje.
Zašto je važno za region
Iako je ova kampanja usmerena na Španiju i Portugaliju, trojanca Ousaban je deo grupe poznatih brazilskih bankarnih trojanca koji su se već razširili izvan svoje originalne zemlje. Sličnih tehnike su korišćene u napadima protiv korisnika u drugim delovima Evrope, pa je moguće da bi se ova kampanja mogla proširiti na druge države uključujući region Zapadnog Balkana. Korisnici bankarskih usluga svuda trebaju biti svesni takvih napada i tehnika maskiranja.
Preporuka Sajber Radara
Preporučujemo svim korisnicima bankarskih usluga da budu izuzetno oprezni sa PDF priložacima i da nikada ne klikću na dugmije u dokumentima koji traže ažuriranje ili potvrdu podataka. Redovna ažuriranja, pouzdana antivirusna zaštita i dvofaktorska autentifikacija su ključne mere odbrane protiv ovakvih sofistificiranih napada.