Ousaban Bankacılık Truva Atı: İspanya ve Portekiz’deki Windows Kullanıcılarını Hedef Alan Yeni Kampanya Siber Güvenlik

Ousaban Bankacılık Truva Atı: İspanya ve Portekiz’deki Windows Kullanıcılarını Hedef Alan Yeni Kampanya

Ousaban bankacılık truva atı, sahte PDF dosyaları ve steganografi kullanarak İspanya ve Portekiz’deki Windows kullanıcılarının banka hesaplarını ele g

Brezilya kaynaklı Ousaban bankacılık truva atı, İspanya ve Portekiz’deki Windows kullanıcılarını hedef alan yeni bir kampanya başlattı. Fortinet’in FortiGuard Labs ekibi tarafından Mayıs 2026’da tespit edilen bu kampanya, bozuk dosya görünümü veren bir PDF ile başlıyor. PDF, kurbanın ‘Atualizar’ (Güncelle) butonuna basmasını isteyen sahte bir uyarı gösteriyor. Tıklama sonucu açılan kötü amaçlı web sayfası, önce ziyaretçinin gerçekten İspanya veya Portekiz’den olup olmadığını kontrol ediyor. Ardından, asıl zararlı yük bir resim dosyasının içine gizleniyor (steganografi). Bu yöntemlerle Ousaban, yalnızca hedef ülkelerdeki kullanıcılara bulaşarak güvenlik duvarlarını aşmayı hedefliyor.

Ousaban, Windows bilgisayara sessizce yerleştikten sonra kullanıcının bankacılık sitesini açmasını bekliyor. Hedef banka sayfası yüklendiğinde, ekran görüntüsü alma, tuş vuruşlarını kaydetme, panoya müdahale etme, sahte mesajlar gösterme ve saldırgana uzaktan erişim sağlama gibi yeteneklerini devreye sokuyor. Bu araçlar, canlı bankacılık oturumunu ele geçirerek hesabı tamamen kontrol altına almayı mümkün kılıyor. Ousaban, İspanya ve Portekiz’deki 20’den fazla bankayı izliyor; bunlar arasında Banco Santander, BBVA, CaixaBank, Bankinter ve Caixa Geral de Depósitos gibi büyük bankalar bulunuyor.

Saldırının teknik detayları oldukça sofistike. İlk aşamada, PDF içine gömülü JavaScript otomatik olarak kötü amaçlı sayfayı açabiliyor. Sayfa, ziyaretçiyi tararken kendini vergi belgesi portalı olarak tanıtıyor. Fortinet’e göre eski sürümlerde bu kontroller tarayıcıda yapılırken (IP, dil, saat dilimi, VPN kullanımı, ekran boyutu ve yazı tipleri), yeni sürümde kontroller operatörün sunucusuna taşınmış. Böylece kurallar gizli kalıyor. İspanya veya Portekiz dışından gelen ziyaretçilere yalnızca İspanyolca ‘erişim engellendi’ mesajı gösteriliyor. Doğrulamayı geçen kullanıcıya, PDF simgesi gibi görünen ancak içinde ZIP dosyası barındıran bir resim indiriliyor. Script, ZIP’i açıp Ousaban’ı çalıştırdıktan sonra tüm izleri (resim, ZIP ve script) siliyor. Ousaban, Windows’la birlikte başlamak için ‘Financeiro’ (Portekizce ‘finans’) adlı bir kayıt defteri anahtarı ekliyor.

Ousaban’ın komuta sunucusu (C2) da oldukça gizlenmiş durumda. C2 adresi her gün değişiyor; malware, bir Google sayfasından güncel tarihi okuyarak sabit bir gizli anahtarla birleştirip o günkü adresi oluşturuyor. Dünkü adresi engellemek işe yaramıyor. Fortinet, bu altyapının geçmişte Grandoreiro gibi diğer Brezilya bankacılık truva atlarıyla da bağlantılı olduğunu belirtiyor. Kaspersky’nin ‘Tetrade’ olarak adlandırdığı bu grup (Grandoreiro, Guildma, Melcoz ile birlikte) İspanya ve Portekiz’e yayılmış durumda. Grandoreiro, Ocak 2024’te Interpol operasyonuyla çökertilmesine rağmen aylar içinde geri dönmüştü. Ousaban ise Casbaneiro ailesiyle aynı özel şifreleme yöntemini kullanıyor. Korunmak için, ‘dosya bozuk’ uyarısı veren PDF’lere ve ‘hatayı düzeltmek’ için komut yapıştırma talimatlarına şüpheyle yaklaşılmalı. Beklenmeyen fatura veya vergi belgesi ekleri özellikle İspanya ve Portekiz’de riskli. Fortinet, Financeiro kayıt defteri anahtarı ve C:\SysMain_5874288 klasörüne dikkat edilmesini öneriyor.

Paylaş: