đ Contexte En mai 2026, FortiGuard Labs a identifiĂ© une campagne active du trojan bancaire Ousaban ciblant spĂ©cifiquement les utilisateurs en Espagne et au Portugal. Lâarticle, publiĂ© le 1er juillet 2026, constitue une analyse technique approfondie de cette campagne gĂ©olocalisĂ©e.
đŻ Vecteur dâinfection et chaĂźne dâattaque La chaĂźne dâattaque se dĂ©roule en plusieurs Ă©tapes :
PDF de phishing : dĂ©guisĂ© en fichier corrompu, il incite la victime Ă cliquer sur un bouton « Atualizar » (Mettre Ă jour) via un message trompeur. Un code JavaScript hex-escapĂ© redirige Ă©galement vers la mĂȘme page malveillante. Page web malveillante : se fait passer pour une source lĂ©gitime de documents fiscaux. Elle effectue des vĂ©rifications dâenvironnement cĂŽtĂ© serveur (langue, fuseau horaire, IP, rĂ©solution dâĂ©cran, rendu navigateur, Ă©numĂ©ration de polices) pour restreindre lâaccĂšs aux seuls utilisateurs en Espagne et au Portugal. Les IP liĂ©es Ă des VPN sont bloquĂ©es. Fichier VBS : tĂ©lĂ©chargĂ© si lâenvironnement passe la vĂ©rification. Il contient de nombreux appels de fonctions bĂ©nins pour masquer le code malveillant, puis tĂ©lĂ©charge une image stĂ©ganographique (ressemblant Ă une icĂŽne PDF) contenant un fichier ZIP avec le payload Ousaban. Payload EXE : dĂ©posĂ© dans C:\SysMain_5874288 et exĂ©cutĂ©. Les fichiers ZIP, image et VBS sont supprimĂ©s aprĂšs exĂ©cution. đŠ Comportement dâOusaban Persistance : crĂ©ation dâune valeur de registre nommĂ©e Financeiro dans CurrentVersion\Run Marqueur dâinstallation : crĂ©ation dâun fichier vide maisum.dat Ciblage bancaire : dĂ©chiffrement de chaĂźnes liĂ©es Ă des services bancaires pour surveiller lâaccĂšs aux banques cibles Algorithme de chiffrement custom : partagĂ© avec dâautres trojans bancaires latino-amĂ©ricains comme Casbaneiro, basĂ© sur XOR avec offset alĂ©atoire RĂ©solution C2 dynamique : utilisation de DDNS avec sous-domaines changeant quotidiennement (prĂ©fixe aki + 8 premiers caractĂšres dâun hash MD5 basĂ© sur la date et une chaĂźne hardcodĂ©e). La date est obtenue en accĂ©dant Ă la page Google Automated Queries. Leurre Pastebin : un lien Pastebin contenant une IP privĂ©e est dĂ©chiffrĂ© mais sert de leurre ; la vraie rĂ©solution C2 passe par les domaines DDNS. Commandes C2 : #Convite# (collecte dâinfos), #Handle# (ID victime), #ON-LINE# (heartbeat), #xyScree# (rĂ©solution Ă©cran), #Iniciar# (capture dâĂ©cran, contrĂŽle Ă distance, keylogger, injection clipboard) đ
Variantes fin 2025 Des variantes de fin 2025 utilisaient :
...