La pandemia de la Covid-19 impulsó la utilización de la banca online y, al mismo tiempo, crecieron de forma masiva los ataques de troyanos bancarios. Esta amenaza ha persistido con el cambio de año y, según advirtió ESET el pasado mes de marzo, ha detectado una oleada de troyanos bancarios procedentes de Latinoamérica que también se están propagando entre los usuarios españoles.
Este miércoles, la compañía de ciberseguridad ha emitido un comunicado para informar de que ha descubierto un nuevo troyano bancario de origen latinoamericano al que ha denominado Ousaban.
De acuerdo a la telemetría de ESET, por el momento solamente está activo en Brasil, aunque algunas fuentes señalan que ya ha llegado a Europa. Se trata de un malware que utiliza imágenes muy sugerentes y atrevidas como vector de distribución y de ahí proviene su nombre de Ousaban, que une los inicios de las palabras Ousadia (atrevimiento en portugués) y troyano bancario.
"Este malware busca robar credenciales de entidades financieras y, al contrario que otros troyanos latinoamericanos, también pretende robar el acceso a servicios de correo electrónico", señala la firma de ciberseguridad.
Las capacidades de "Ousaban"
ESET ha descubierto a Ousaban, también conocido como Javali, tras llevar siguiendo a esta familia de malware desde el 2018. Según ha explicado, sus capacidades de backdoor son muy parecidas a las de cualquier otro troyano bancario latinoamericano: simulan las pulsaciones de teclado, los movimientos de ratón y los patrones de acceso. También al igual que otros troyanos bancarios latinoamericanos, Ousaban ataca a los usuarios de entidades financieras mostrando ventanas diseñadas específicamente para sus víctimas. Sin embargo, a diferencia de troyanos similares, los objetivos de Ousaban también incluyen servicios de correo electrónico.
"Ousaban se distribuye sobre todo a través de phishing, utilizando una cadena de distribución muy sencilla. La víctima es engañada para que ejecute un archivo MSI adjunto en el correo usado como gancho", ha indicado Jakub Soucek, coordinador del equipo de ESET que ha investigado Ousaban. "Cuando se ejecuta, el MSI lanza un JavaScript incrustado que descarga un archivo comprimido en ZIP desde el que se extraen los contenidos: una aplicación legítima, un inyector y el malware Ousaban cifrado. Utilizando la técnica de carga lateral de DLLs, el troyano de descifra y se ejecuta"
Soucek también ha resaltado que Ousaban cuenta con un mecanismo de persistencia muy interesante: "'Ousaban' crea un archivo LNK o un sencillo loader VBS en la carpeta de inicio o modifica la clave de registro de Windows. Además, el malware protege sus archivos ejecutables con ofuscadores binarios y agranda los archivos EXE hasta los 400MB con el objetivo de evadir la detección y el proceso automatizado".