İspanya ve Portekiz'deki Banka Müşterilerini Hedef Alan Gelişmiş Ousaban Truva Atı Yazılım

İspanya ve Portekiz'deki Banka Müşterilerini Hedef Alan Gelişmiş Ousaban Truva Atı

Brezilya kökenli Ousaban bankacılık truva atı, İspanya ve Portekiz'deki kullanıcıları hedef alıyor. Steganografi ve coğrafi kısıtlama gibi gelişmiş te

Uzun süredir Brezilya'daki kurbanlara karşı kullanılan bir bankacılık truva atı, İspanya ve Portekiz'deki banka müşterilerini hedef almak üzere yeniden yapılandırıldı. Ousaban adı verilen bu kötü amaçlı yazılım, kimlik avı PDF'leri, steganografi ve coğrafi kısıtlama (geofencing) gibi yöntemlerle gizlenerek fark edilmeden çalışıyor. Fortinet'in FortiGuard Labs tarafından yapılan yeni bir analize göre, Ousaban Mayıs 2026'dan bu yana bu iki ülkede aktif durumda.

Ousaban, Casbaneiro ile aynı Latin Amerika ailesinden gelen bir bankacılık truva atıdır. Yazılım, kurbanları hedef almayı kolaylaştırmak ve araştırmacılardan kaçmak için ekstra kaçınma katmanlarıyla donatılmıştır. Saldırı zinciri, kurbanları elemek için tasarlanmış bir kimlik avı PDF'si ile başlar. PDF, bozuk bir dosya gibi görünerek kullanıcıyı 'Güncelle' düğmesine tıklamaya yönlendirir ve bu da kötü amaçlı bir web sayfası açar.

Saldırganlar, kendilerini bir devlet vergi portalı olarak tanıtan sahte bir sayfa oluşturur. Bu sayfa, her ziyaretçiyi profiller ve yalnızca İspanya veya Portekiz'de olduğu anlaşılan kullanıcılara saldırıyı devam ettirir. Sunucu tarafında yapılan bu kontrol, dil, saat dilimi ve IP verilerini inceler, VPN bağlantılarını engeller ve sanal makineleri tespit ederek analistlerin kriterleri görmesini engeller.

Kontrolleri geçen ziyaretçilere, bir PDF simgesine benzeyen bir görüntü indiren bir komut dosyası gönderilir. Bu görüntü, steganografi kullanarak Ousaban yükünü içeren eklenmiş bir arşivi gizler. Uygulama güvenliği firması Black Duck'tan danışman Li Zhao, 'Ousaban temelde yeni bir saldırı türü değil, on yıllık geleneksel Latin Amerika bankacılık truva atı stratejilerinin oldukça optimize edilmiş bir evrimidir' diyor. Yazılımın Delphi ile yazıldığını ve 2008 dönemine ait bir şifreleme şemasını yeniden kullandığını belirtiyor.

Teknik Analiz

Ousaban çalıştığında, Santander, BBVA, CaixaBank, Revolut ve Caixa Geral de Depósitos gibi düzinelerce hedeflenen bankacılık hizmetinden birini açması için kurbanı izler. Bir banka tespit edildiğinde, truva atı ekran görüntüleri, tuş kaydı, pano enjeksiyonu ve uzaktan kontrol gibi araçlarını kullanır. Ayrıca kullanıcıları kandırarak bilgilerini vermeleri için sahte banka ekranları gösterir.

Nasıl Önlem Alınmalı?

Komut sunucusu için Ousaban sabit bir adres yerine kaçınma yöntemine güvenir. FortiGuard, yazılımın, Google hata sayfasından alınan güncel tarihin hash'inden türetilen, günlük olarak değişen bir alan adını çözümlediğini belirtiyor. Bu arada, yanıltıcı bir Pastebin bağlantısı analistleri özel bir IP adresine yönlendiriyor. Sertifika yönetimi firması Sectigo'dan kıdemli araştırmacı Jason Soroko, 'Coğrafi kısıtlamalı kötü amaçlı yazılım, hedef bölgenin dışından bakıldığında yokmuş gibi görünebilir' diyerek ekiplerin yalnızca sanal kutu sonuçlarına güvenmek yerine uç nokta, e-posta, DNS ve proxy günlüklerini ilişkilendirmeleri gerektiğini vurguluyor.

Fortinet, kendi telemetri verilerine dayanarak kampanyanın hala aktif olduğunu ve kimlik avı saldırılarının doğrudan banka dolandırıcılığına yönelik olduğunu belirtiyor. Bu gelişme, Latin Amerika bankacılık truva atlarının Avrupa'ya yayılma eğilimini gösteriyor. Kullanıcıların, özellikle İspanya ve Portekiz'deki banka müşterilerinin, şüpheli PDF'lere karşı dikkatli olmaları ve web sitelerinin doğruluğunu kontrol etmeleri önem taşıyor.

Uzmanların Görüşleri

Ousaban'ın bu yeni varyantı, bankacılık truva atlarının coğrafi kısıtlama ve steganografi gibi tekniklerle nasıl evrildiğini gözler önüne seriyor. Kullanıcıların, banka işlemleri sırasında ekstra dikkatli olmaları, bilinmeyen kaynaklardan gelen dosyaları açmamaları ve güvenlik yazılımlarını güncel tutmaları öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: