Brezilya'da uzun yıllardır kullanılan bir bankacılık truva atı olan Ousaban, artık İspanya ve Portekiz'deki banka müşterilerini hedef almak üzere yeniden yapılandırıldı. Fortinet'in FortiGuard Labs analizine göre, bu kötü amaçlı yazılım Mayıs 2026'dan bu yana bu iki ülkede aktif. Casbaneiro ailesine ait olan Ousaban, araştırmacılardan kaçmak ve hedeflerine ulaşmak için ek gizleme katmanlarıyla donatılmış durumda.
Saldırı, bozuk bir dosya gibi görünen bir phishing PDF'si ile başlıyor. Kurban, bu PDF'deki 'Güncelle' butonuna tıklamaya teşvik ediliyor ve bu tıklama, kötü amaçlı bir web sayfasına yönlendiriyor. Bu sayfa, kendini bir devlet vergi portalı olarak tanıtarak her ziyaretçiyi profilliyor ve yalnızca İspanya veya Portekiz'de olduğu anlaşılan kullanıcılar için saldırıyı sürdürüyor. Sunucu tarafındaki bu kontrol, dil, saat dilimi ve IP verilerini inceliyor, VPN bağlantılarını engelliyor ve sanal makineleri (sandbox) filtreliyor. Ayrıca, analistlerin bu kriterleri görmesini engellemek için kriterler gizleniyor.
Filtreyi geçen kullanıcılar, PDF simgesine benzeyen bir görsel indiren bir betik alıyor. Bu görsel, steganografi kullanılarak Ousaban yükünü içeren bir arşivi gizliyor. Black Duck uygulama güvenliği firmasından danışman Li Zhao, 'Ousaban temelde yeni bir saldırı türü değil, on yıllık Latin Amerika bankacılık truva atı stratejilerinin oldukça optimize edilmiş bir evrimi' diyor ve Delphi ile yazıldığını, 2008 dönemine ait bir şifreleme şemasını yeniden kullandığını belirtiyor.
Detaylar ve Etkileri
Ousaban çalışmaya başladığında, Santander, BBVA, CaixaBank, Revolut ve Caixa Geral de Depósitos gibi düzinelerce hedeflenen bankacılık hizmetinden birini kurbanın açmasını bekliyor. Hedef tespit edildiğinde, ekran görüntüsü alma, tuş kaydı (keylogging), pano enjeksiyonu ve uzaktan kontrol gibi araçlarını kullanıyor. Ayrıca, kullanıcıları kandırarak bilgilerini vermelerini sağlamak için sahte banka ekranları gösteriyor.
Komut sunucusu için Ousaban, sabit bir adres yerine kaçamak yöntemini kullanıyor. FortiGuard, her gün değişen bir alan adını çözdüğünü, bu adın Google hata sayfasından alınan güncel tarihin hash'inden türetildiğini belirtiyor. Ayrıca, bir yem Pastebin bağlantısı analistleri özel bir IP adresine yönlendirerek boşa çıkarıyor. Sectigo sertifika yönetimi firmasından kıdemli araştırmacı Jason Soroko, 'Coğrafi olarak engellenmiş kötü amaçlı yazılımlar, hedef bölgenin dışından bakıldığında yokmuş gibi görünebilir' diyerek ekiplerin yalnızca sanal makine sonuçlarına güvenmek yerine uç nokta, e-posta, DNS ve proxy günlüklerini ilişkilendirmeleri gerektiğini vurguluyor.
Gelecekte Ne Bekleniyor?
Fortinet, kampanyanın hala aktif olduğunu ve kimlik avı amaçlı olarak doğrudan banka dolandırıcılığına yönelik olduğunu belirtiyor. Kullanıcıların, özellikle İspanya ve Portekiz'de, şüpheli e-posta eklerine ve bağlantılara karşı dikkatli olmaları, bankacılık işlemlerini yalnızca resmi uygulamalar veya doğrudan banka web siteleri üzerinden yapmaları öneriliyor. Ayrıca, güvenlik yazılımlarını güncel tutmak ve iki faktörlü kimlik doğrulama kullanmak, bu tür tehditlere karşı korunmada önemli adımlar.
Kaynak: infosecurity-magazine.com