Brezilya'daki kurbanlara karşı uzun süredir kullanılan bir bankacılık truva atı, gizli kalmak için kimlik avı PDF'leri, steganografi ve coğrafi sınırlama kullanarak İspanya ve Portekiz'deki bankacılık müşterilerini hedef alacak şekilde yeniden düzenlendi.
Fortinet'in FortiGuard Laboratuvarları yeni bir analizde, Ousaban olarak bilinen kötü amaçlı yazılımın Mayıs 2026'dan bu yana iki ülkeye karşı aktif olduğunu söyledi.
Casbaneiro ile aynı Latin Amerika ailesinden gelen bir bankacılık truva atı, artık onu hedeflenen kurbanların önünde ve araştırmacılardan uzak tutmak için tasarlanmış ekstra kaçınma katmanlarıyla sarılmış olarak geliyor.
Detaylar ve Etkileri
Kurbanları Taramak İçin Geliştirilmiş Bir Kimlik Avı Zinciri
Gelecekte Ne Bekleniyor?
Saldırı, kurbanı kötü amaçlı bir web sayfasını açan Güncelle düğmesini tıklatmaya yönlendiren, bozuk bir dosya görünümüne sahip bir kimlik avı PDF'si ile başlıyor.
Devlete ait bir vergi portalı gibi görünen sayfa, her ziyaretçinin profilini çıkarıyor ve saldırıyı yalnızca İspanya veya Portekiz'de görünen kullanıcılar için sürdürüyor.
Bu sunucu tarafı kontrolü; dili, saat dilimini ve IP verilerini inceler, VPN bağlantılarını engeller ve sanal alanları filtreleyerek kriterleri analistlerden gizler.
Önemli Gelişmeler
Geçen ziyaretçilere, Ousaban yükünü içeren ek bir arşivi gizlemek için steganografi kullanan, PDF simgesine benzeyen bir görüntüyü aşağıya çeken bir komut dosyası veriliyor.
Uygulama güvenliği firması Black Duck'ın danışmanı Li Zhao, "Ousaban temelde yeni bir saldırı türü değil, geleneksel, on yıllık Latin Amerika bankacılık trojan stratejilerinin son derece optimize edilmiş bir evrimi" dedi ve bunun Delphi'de yazıldığını ve 2008 dönemi şifreleme şemasını yeniden kullandığını belirtti.
Sistem Güvenliği
İspanya'daki Latin Amerika bankacılık truva atları hakkında daha fazlasını okuyun: Yeni Grandoreiro Kötü Amaçlı Yazılım Varyantı İspanya'yı Hedefliyor
Banka Girişlerini İzleme
Uzmanların Görüşleri
Ousaban koştuktan sonra kurbanın aralarında Santander, BBVA, CaixaBank, Revolut ve Caixa Geral de Depósitos'un da bulunduğu düzinelerce hedefli bankacılık hizmetinden birini açmasını izliyor.
Bunlardan birini tespit ettiğinde araç seti ekran görüntülerini, tuş kaydetmeyi, panoya yerleştirmeyi ve uzaktan kumandayı içeriyor ve kullanıcıları bilgilerini vermeleri için kandırmak amacıyla sahte banka ekranları gösteriyor.
Teknik Analiz
Ousaban, komuta sunucusu için sabit bir adresten ziyade adres kaçırmayı tercih ediyor. FortiGuard, bir Google hata sayfasından alınan mevcut tarihin karmasından türetilen, günlük olarak değişen bir etki alanını çözdüğünü ve sahte bir Pastebin bağlantısının analistleri çıkmaz bir özel IP'ye yönlendirdiğini söyledi.
Sertifika yönetim firması Sectigo'nun kıdemli bir üyesi olan Jason Soroko, "Geoof korumalı kötü amaçlı yazılımlar hedef bölgenin dışında görünmeyebilir" dedi ve ekipleri sanal alan sonuçlarına güvenmek yerine uç nokta, posta, DNS ve proxy günlüklerini ilişkilendirmeye çağırdı.
Nasıl Önlem Alınmalı?
Fortinet, kendi telemetrisinden yararlanarak kampanyanın devam ettiğini ve kimlik bilgileri hırsızlığının doğrudan banka dolandırıcılığını hedeflediğini söyledi.