Ousaban атакует банки Испании и Португалии через фишинг

FortiGuard Labs раскрыла многоступенчатую киберкампанию, нацеленную на пользователей банковских услуг в Испании и Португалии, с использованием banking trojan Ousaban. Вредоносная операция, впервые замеченная в Бразилии, теперь доставляется через изощрённую цепочку заражения, сочетающую phishing PDF, геолокационные проверки и стеганографию, чтобы оставаться незамеченной. Атакующие применяют комбинацию социальной инженерии, обхода VPN и динамически генерируемых доменов C2, существенно усложняя детектирование и анализ.

Цепочка заражения: от PDF к payload

Атака стартует с целевого phishing PDF, который маскируется под повреждённый документ и демонстрирует жертве ложное сообщение о необходимости обновления. Внутри файла размещён JavaScript, скрывающий истинные намерения и перенаправляющий пользователя на malicious web page, замаскированную под легитимный ресурс для получения налоговых документов. Далее серверная логика выполняет строгую проверку геолокации и IP-адреса: доступ разрешается только посетителям из Испании или Португалии, а подключения через VPN принудительно блокируются. Если проверка пройдена, происходит загрузка безобидного на вид VBS file, который запускает следующий этап.

Основные шаги установки:

  • Скачанный VBS script извлекает steganographic image, замаскированное под иконку PDF;
  • Изображение содержит ZIP-архив с вредоносной нагрузкой Ousaban;
  • После распаковки и выполнения malicious payload все временные файлы немедленно удаляются, чтобы замести следы для forensic analysis.

На этапе закрепления троян прописывает registry entry для обеспечения persistence и приступает к расшифровке credentials, связанных с конкретными банковскими сервисами. Эти данные хранятся в зашифрованном виде с алгоритмом, характерным для banking trojans, распространённых в Латинской Америке.

Коммуникации с C2 и команды

Для соединения с управляющим сервером Ousaban ежедневно меняет доменные имена. Механизм работает следующим образом: вредонос извлекает текущую дату со страницы Google, вычисляет MD5 hash, на основе которого формируется домен, указывающий на сервер под управлением DDNS. Хотя первоначально троян ссылается на фальшивую запись в Pastebin, чтобы скрыть реальный C2, фактический command traffic шифруется давно известным алгоритмом.

Получаемые от сервера команды включают широкий спектр шпионских действий:

  • Захват скриншотов (screenshot capture);
  • Регистрация нажатий клавиш (keylogging);
  • Манипуляции с буфером обмена (clipboard manipulation);
  • Симуляция активности пользователя для усиления обмана жертвы.

Два вектора первоначального заражения

Злоумышленники используют два канала доставки вредоносного MSI installer. Первый полагается на ClickFix method — приём социальной инженерии, побуждающий жертву выполнить вредоносный код через VBS. Второй перенаправляет пользователя с phishing PDF напрямую на фишинговую веб-страницу, которая размещает MSI-установщик. В обоих случаях дальнейшая активация происходит через DLL sideloading либо code injection в легитимные процессы.

Геофенсинг и уклонение

Кампания демонстрирует высокий уровень sophistication злоумышленника в области evasion. Применяются geofencing и проверки окружения, ограничивающие охват и предотвращающие запуск в нецелевых средах. Строгая фильтрация IP-адресов, запрет VPN, очистка временных файлов и подмена индикаторов C2 через Pastebin — всё это указывает на продуманную стратегию противодействия обнаружению и анализу.

По мере эволюции угрозы специалисты FortiGuard Labs подчёркивают необходимость непрерывного мониторинга и внедрения проактивных защитных мер, способных реагировать на изменчивые тактики Ousaban и подобных banking trojans.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: