Ousaban: Koleksi foto pribadi disembunyikan di CABinet

Posting : 06 May 2021



Satu lagi dalam seri trojan perbankan Amerika Latin kami yang sesekali mendemistifikasi.

Ousaban adalah trojan perbankan Amerika Latin yang aktif secara eksklusif di Brasil.  ESET telah melacak keluarga malware ini sejak 2018. Seperti kebanyakan trojan perbankan LATAM lainnya, Ousaban menggunakan jendela overlay untuk mencuri kredensial dan lebih banyak lagi dari lembaga keuangan.  Namun, tidak seperti kebanyakan trojan perbankan LATAM lainnya, pengembang Ousaban telah memperluas penggunaan jendela hamparan untuk mencuri kredensial dari layanan email regional yang populer.  Dalam angsuran seri kami ini, kami memeriksa fitur-fitur utamanya dan banyak koneksi ke keluarga trojan perbankan Amerika Latin lainnya.

Karakteristik

Ousaban ditulis dalam Delphi, seperti juga sebagian besar trojan perbankan Amerika Latin lainnya yang dilacak ESET.  Dan, seperti kebanyakan dari mereka, Ousaban menunjukkan tanda-tanda perkembangan yang aktif dan berkelanjutan.

Nama ESET untuk keluarga ini adalah portmanteau dari dua kata - "ousadia", yang berarti "keberanian" dalam bahasa Portugis, dan "trojan perbankan".  Alasan untuk nama seperti itu adalah karena untuk waktu yang sangat lama, Ousaban didistribusikan di samping gambar-gambar (beberapa di antaranya tidak senonoh) yang ditunjukkan pada Gambar 1. Dalam kampanye terbaru yang mendistribusikan Ousaban, hal ini tidak lagi terjadi.

Ousaban juga dikenal sebagai Javali, nama yang diberikan oleh Kaspersky.  Artikel terbaru tentang Ousaban dapat ditemukan di sini.  ESET juga dapat mengaitkan Ousaban dengan kampanye yang dijelaskan dalam posting blog ini dari tahun 2018. Meskipun beberapa sumber mengklaim Ousaban aktif di Eropa, ESET tidak pernah mengamati adanya kampanye yang menyebarkan trojan perbankan ini ke luar Brasil.

Ousaban melindungi file executable-nya dengan obfuscator biner Themida atau Enigma.  Selain itu, sebagian besar EXE diperbesar, menggunakan padding biner, menjadi sekitar 400 MB, kemungkinan untuk menghindari deteksi dan pemrosesan otomatis.

Varian Ousaban terbaru berisi tabel string untuk menampung string mereka, menyimpan tabel ini di bagian .rsrc mereka.  Salah satu sumber daya berisi daftar string terkompresi zlib yang dipisahkan oleh karakter baris baru.

Kemampuan pintu belakangnya sangat mirip dengan trojan perbankan Amerika Latin pada umumnya - menstimulasi tindakan mouse dan keyboard serta mencatat penekanan tombol.  Varian terbaru berkomunikasi dengan server C&C menggunakan RealThinClient - protokol yang juga digunakan oleh Grandoreiro.

Trojan perbankan Amerika Latin yang khas menyerang pengguna lembaga keuangan menggunakan jendela hamparan yang dibuat khusus untuk targetnya dan Ousaban tidak terkecuali.  Menariknya, targetnya mencakup beberapa layanan email yang juga memiliki jendela overlay, seperti yang diilustrasikan pada Gambar 2.