Ousaban атакует банки Испании и Португалии через фишинг
FortiGuard Labs раскрыла многоступенчатую киберкампанию, нацеленную на пользователей банковских услуг в Испании и Португалии, с использованием banking trojan Ousaban. Вредоносная операция, впервые замеченная в Бразилии, теперь доставляется через изощрённую цепочку заражения, сочетающую phishing PDF, геолокационные проверки и стеганографию, чтобы оставаться незамеченной. Атакующие применяют комбинацию социальной инженерии, обхода VPN и динамически генерируемых доменов C2, существенно усложняя детектирование и анализ.
Цепочка заражения: от PDF к payload
Атака стартует с целевого phishing PDF, который маскируется под повреждённый документ и демонстрирует жертве ложное сообщение о необходимости обновления. Внутри файла размещён JavaScript, скрывающий истинные намерения и перенаправляющий пользователя на malicious web page, замаскированную под легитимный ресурс для получения налоговых документов. Далее серверная логика выполняет строгую проверку геолокации и IP-адреса: доступ разрешается только посетителям из Испании или Португалии, а подключения через VPN принудительно блокируются. Если проверка пройдена, происходит загрузка безобидного на вид VBS file, который запускает следующий этап.
Основные шаги установки:
- Скачанный VBS script извлекает steganographic image, замаскированное под иконку PDF;
- Изображение содержит ZIP-архив с вредоносной нагрузкой Ousaban;
- После распаковки и выполнения malicious payload все временные файлы немедленно удаляются, чтобы замести следы для forensic analysis.
На этапе закрепления троян прописывает registry entry для обеспечения persistence и приступает к расшифровке credentials, связанных с конкретными банковскими сервисами. Эти данные хранятся в зашифрованном виде с алгоритмом, характерным для banking trojans, распространённых в Латинской Америке.
Коммуникации с C2 и команды
Для соединения с управляющим сервером Ousaban ежедневно меняет доменные имена. Механизм работает следующим образом: вредонос извлекает текущую дату со страницы Google, вычисляет MD5 hash, на основе которого формируется домен, указывающий на сервер под управлением DDNS. Хотя первоначально троян ссылается на фальшивую запись в Pastebin, чтобы скрыть реальный C2, фактический command traffic шифруется давно известным алгоритмом.
Получаемые от сервера команды включают широкий спектр шпионских действий:
- Захват скриншотов (screenshot capture);
- Регистрация нажатий клавиш (keylogging);
- Манипуляции с буфером обмена (clipboard manipulation);
- Симуляция активности пользователя для усиления обмана жертвы.
Два вектора первоначального заражения
Злоумышленники используют два канала доставки вредоносного MSI installer. Первый полагается на ClickFix method — приём социальной инженерии, побуждающий жертву выполнить вредоносный код через VBS. Второй перенаправляет пользователя с phishing PDF напрямую на фишинговую веб-страницу, которая размещает MSI-установщик. В обоих случаях дальнейшая активация происходит через DLL sideloading либо code injection в легитимные процессы.
Геофенсинг и уклонение
Кампания демонстрирует высокий уровень sophistication злоумышленника в области evasion. Применяются geofencing и проверки окружения, ограничивающие охват и предотвращающие запуск в нецелевых средах. Строгая фильтрация IP-адресов, запрет VPN, очистка временных файлов и подмена индикаторов C2 через Pastebin — всё это указывает на продуманную стратегию противодействия обнаружению и анализу.
По мере эволюции угрозы специалисты FortiGuard Labs подчёркивают необходимость непрерывного мониторинга и внедрения проактивных защитных мер, способных реагировать на изменчивые тактики Ousaban и подобных banking trojans.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



