Brezilya kaynaklı Ousaban bankacılık truva atı, İspanya ve Portekiz'deki Windows kullanıcılarını hedef alan yeni bir kampanya ile yeniden ortaya çıktı. Fortinet'in FortiGuard Labs ekibi tarafından Mayıs 2026'da tespit edilen kampanya, sahte bir PDF dosyası ile başlıyor. PDF, bozuk dosya görünümü vererek kullanıcıyı 'Atualizar' (Güncelle) butonuna basmaya yönlendiriyor. Bu buton, kötü amaçlı bir web sayfasını açıyor. Sayfa, ziyaretçinin gerçekten İspanya veya Portekiz'den olup olmadığını kontrol eden bir dizi filtreleme işlemi uyguluyor. Coğrafi engellemeyi geçen kullanıcılara ise asıl zararlı yük, bir PDF simgesi görünümündeki resmin içine gizlenmiş ZIP dosyası olarak sunuluyor. Bu teknik, steganografi olarak biliniyor ve güvenlik yazılımlarını atlatmak için kullanılıyor.
Ousaban, Windows bilgisayara sessizce yerleştikten sonra, kullanıcının bankacılık işlemlerini izlemeye başlıyor. Truva atı, Banco Santander, BBVA, CaixaBank, Bankinter ve Caixa Geral de Depósitos gibi 20'den fazla bankayı hedef alıyor. Kullanıcı hedef bankanın sitesini ziyaret ettiğinde, Ousaban ekran görüntüsü alabiliyor, tuş vuruşlarını kaydedebiliyor, panoya müdahale edebiliyor, sahte mesajlar gösterebiliyor ve saldırgana uzaktan erişim sağlayabiliyor. Tüm bu özellikler, canlı bir bankacılık oturumunu ele geçirerek hesabı tamamen kontrol altına almak için kullanılıyor. Ayrıca truva atı, Windows ile birlikte başlamak için kayıt defterine 'Financeiro' (Portekizce 'finans') anahtarını ekliyor.
Ousaban'ın komut ve kontrol sunucusu, tespit edilmeyi zorlaştırmak için özel olarak tasarlanmış. Sunucu adresini bulmak için Pastebin gibi web servislerini kullanan truva atı, aslında bu adreslerin yem olduğunu gizliyor. Fortinet, gerçek sunucunun her gün değiştiğini ve adresin, Google sayfasından alınan güncel tarih ve sabit bir gizli anahtar kullanılarak oluşturulduğunu belirtiyor. Bu yöntem, bir önceki günün adresini engellemenin işe yaramamasını sağlıyor. Ousaban, daha önceki kampanyalarında yapılandırmayı Google Dokümanlar'da saklarken, bu yeni versiyonda daha dinamik bir yaklaşım benimsemiş durumda.
Gelecekte Ne Bekleniyor?
Ousaban, Grandoreiro, Guildma ve Melcoz ile birlikte Kaspersky tarafından 'Tetrade' olarak adlandırılan Brezilyalı bankacılık truva atı ailesinin bir üyesi. Bu aileler, Brezilya'da başlayıp İspanya ve Portekiz'e yayılmış ve birbirlerinden kod alışverişi yapmış durumda. Örneğin, Ousaban'ın şifreleme yöntemi, Casbaneiro ailesiyle aynı. Grandoreiro ise 2024'te Interpol operasyonuyla çökertilmesine rağmen aylar içinde geri dönerek bu tür tehditlerin ne kadar kalıcı olduğunu gösterdi. Kullanıcılar için en önemli savunma, beklenmedik fatura, vergi belgesi veya PDF eklerine karşı şüpheci olmak. Özellikle dosyanın bozuk olduğunu belirten ve 'Güncelle' butonuna basmayı isteyen PDF'ler düşmanca kabul edilmeli. Güvenlik ekipleri ise Fortinet'in raporundaki alan adları, IP adresleri ve dosya karmalarını engellemeli, 'Financeiro' kayıt defteri anahtarını ve C:\SysMain_5874288 klasörünü izlemeli.