Ousaban Bankacılık Truva Atı İspanya ve Portekiz'i Hedef Alıyor: Steganografi ve Coğrafi Kısıtlama ile Gizleniyor Siber Güvenlik

Ousaban Bankacılık Truva Atı İspanya ve Portekiz'i Hedef Alıyor: Steganografi ve Coğrafi Kısıtlama ile Gizleniyor

Brezilya kökenli Ousaban bankacılık truva atı, İspanya ve Portekiz'deki kullanıcıları hedef alıyor. PDF oltalama ve steganografi ile gizlenen zararlı

Fortinet FortiGuard Labs tarafından yapılan yeni bir analize göre, Brezilya'da uzun süredir kullanılan bir bankacılık truva atı olan Ousaban, İspanya ve Portekiz'deki banka müşterilerini hedef alacak şekilde yeniden tasarlandı. Mayıs 2026'dan bu yana aktif olan bu kötü amaçlı yazılım, PDF oltalama, steganografi ve coğrafi kısıtlama gibi ek gizleme katmanlarıyla donatıldı. Ousaban, Casbaneiro ile aynı Latin Amerika bankacılık truva atı ailesinden geliyor ve araştırmacılardan kaçmak için gelişmiş teknikler kullanıyor.

Saldırı, bozuk bir dosya gibi görünen bir PDF oltalama ile başlıyor. Kullanıcı, dosyayı açtığında bir 'Güncelle' butonuna tıklamaya yönlendiriliyor ve bu buton kötü amaçlı bir web sayfasını açıyor. Bu sayfa, bir devlet vergi portalı gibi görünerek her ziyaretçiyi profilliyor ve yalnızca İspanya veya Portekiz'de olduğu tespit edilen kullanıcılar için saldırıya devam ediyor. Sunucu tarafındaki bu kontrol, dil, saat dilimi ve IP verilerini inceliyor, VPN bağlantılarını engelliyor ve sanal ortamları tespit ederek analistlerin kriterleri görmesini engelliyor.

Coğrafi kısıtlamayı geçen ziyaretçiler, bir PDF simgesine benzeyen bir görüntüyü indiren bir betik alıyor. Steganografi kullanılarak bu görüntünün içine gizlenmiş bir arşiv, Ousaban yükünü barındırıyor. Uygulama güvenliği firması Black Duck'tan danışman Li Zhao, "Ousaban temelde yeni bir saldırı türü değil, on yıllık geleneksel Latin Amerika bankacılık truva atı stratejilerinin oldukça optimize edilmiş bir evrimi" diyor ve Delphi ile yazıldığını ve 2008 dönemine ait bir şifreleme şemasını yeniden kullandığını belirtiyor.

Detaylar ve Etkileri

Ousaban çalıştığında, Santander, BBVA, CaixaBank, Revolut ve Caixa Geral de Depósitos dahil olmak üzere düzinelerce hedeflenmiş bankacılık hizmetinden birini kurbanın açmasını bekliyor. Hedef tespit edildiğinde, ekran görüntüsü alma, tuş kaydı, pano enjeksiyonu ve uzaktan kontrol gibi araçları devreye giriyor. Sahte banka ekranları göstererek kullanıcıları bilgilerini vermeleri için kandırıyor.

Gelecekte Ne Bekleniyor?

Komut sunucusu için Ousaban sabit bir adres yerine kaçamak yöntemleri kullanıyor. FortiGuard, her gün değişen bir alan adını çözdüğünü, bu alan adının Google hata sayfasından alınan güncel tarihin hash'inden türetildiğini belirtiyor. Bir yem Pastebin bağlantısı ise analistleri özel bir IP adresine yönlendirerek çıkmaza sokuyor. Sertifika yönetimi firması Sectigo'dan kıdemli araştırmacı Jason Soroko, "Coğrafi kısıtlamalı kötü amaçlı yazılım, hedef bölgenin dışından bakıldığında yokmuş gibi görünebilir" diyerek ekiplerin yalnızca sanal ortam sonuçlarına güvenmek yerine uç nokta, posta, DNS ve proxy günlüklerini ilişkilendirmeleri gerektiğini vurguluyor.

Sonuç ve Değerlendirme

Fortinet, kendi telemetrisine dayanarak kampanyanın hala aktif olduğunu ve kimlik avının doğrudan banka dolandırıcılığına yönelik olduğunu belirtiyor. Bu tür tehditlerden korunmak için kullanıcıların şüpheli e-posta eklerini açmamaları, güncel antivirüs yazılımı kullanmaları ve bankacılık işlemlerinde iki faktörlü kimlik doğrulamayı etkinleştirmeleri öneriliyor. Ayrıca, VPN kullanımı gibi coğrafi kısıtlamaları aşma girişimleri, saldırganların hedefleme mekanizmalarını tetikleyebileceğinden dikkatli olunmalıdır.

Kaynak: infosecurity-magazine.com

Paylaş: