🔍 Contexte

En mai 2026, FortiGuard Labs a identifié une campagne active du trojan bancaire Ousaban ciblant spécifiquement les utilisateurs en Espagne et au Portugal. L’article, publié le 1er juillet 2026, constitue une analyse technique approfondie de cette campagne géolocalisée.

🎯 Vecteur d’infection et chaîne d’attaque

La chaîne d’attaque se déroule en plusieurs étapes :

  • PDF de phishing : déguisé en fichier corrompu, il incite la victime à cliquer sur un bouton « Atualizar » (Mettre à jour) via un message trompeur. Un code JavaScript hex-escapé redirige également vers la même page malveillante.
  • Page web malveillante : se fait passer pour une source légitime de documents fiscaux. Elle effectue des vérifications d’environnement côté serveur (langue, fuseau horaire, IP, résolution d’écran, rendu navigateur, énumération de polices) pour restreindre l’accès aux seuls utilisateurs en Espagne et au Portugal. Les IP liées à des VPN sont bloquées.
  • Fichier VBS : téléchargé si l’environnement passe la vérification. Il contient de nombreux appels de fonctions bénins pour masquer le code malveillant, puis télécharge une image stéganographique (ressemblant à une icône PDF) contenant un fichier ZIP avec le payload Ousaban.
  • Payload EXE : déposé dans C:\SysMain_5874288 et exécuté. Les fichiers ZIP, image et VBS sont supprimés après exécution.

🦠 Comportement d’Ousaban

  • Persistance : création d’une valeur de registre nommée Financeiro dans CurrentVersion\Run
  • Marqueur d’installation : création d’un fichier vide maisum.dat
  • Ciblage bancaire : déchiffrement de chaînes liées à des services bancaires pour surveiller l’accès aux banques cibles
  • Algorithme de chiffrement custom : partagé avec d’autres trojans bancaires latino-américains comme Casbaneiro, basé sur XOR avec offset aléatoire
  • Résolution C2 dynamique : utilisation de DDNS avec sous-domaines changeant quotidiennement (préfixe aki + 8 premiers caractères d’un hash MD5 basé sur la date et une chaîne hardcodée). La date est obtenue en accédant à la page Google Automated Queries.
  • Leurre Pastebin : un lien Pastebin contenant une IP privée est déchiffré mais sert de leurre ; la vraie résolution C2 passe par les domaines DDNS.
  • Commandes C2 : #Convite# (collecte d’infos), #Handle# (ID victime), #ON-LINE# (heartbeat), #xyScree# (résolution écran), #Iniciar# (capture d’écran, contrôle à distance, keylogger, injection clipboard)

📅 Variantes fin 2025

Des variantes de fin 2025 utilisaient :

  • La technique ClickFix pour exécuter du code malveillant
  • Un downloader Rust embarqué dans un installeur MSI
  • Des PDF différents redirigeant vers des pages de phishing livrant le MSI

📋 IOCs principaux

Domaines : faturanova[.]xyz, facture-in[.]pages[.]dev, facture-arsys[.]duckdns[.]org, faturanova[.]duckdns[.]org, controlfacturas[.]site

IPs : 213.159.64.191, 162.33.179.46, 91.92.240.140, 78.40.209.32

📌 Nature de l’article

Il s’agit d’une analyse technique publiée par FortiGuard Labs, dont l’objectif principal est de documenter les mécanismes d’infection, d’évasion et de persistance d’Ousaban dans cette campagne géolocalisée, et de fournir des IOCs exploitables.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1027.003 — Obfuscated Files or Information: Steganography (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1059.005 — Command and Scripting Interpreter: Visual Basic (Execution)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1568.002 — Dynamic Resolution: Domain Generation Algorithms (Command and Control)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1115 — Clipboard Data (Collection)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1614.001 — System Location Discovery: System Language Discovery (Discovery)

IOC

  • IPv4 : 213.159.64.191AbuseIPDB · VT · ThreatFox
  • IPv4 : 162.33.179.46AbuseIPDB · VT · ThreatFox
  • IPv4 : 91.92.240.140AbuseIPDB · VT · ThreatFox
  • IPv4 : 78.40.209.32AbuseIPDB · VT · ThreatFox
  • Domaines : faturanova.xyzVT · URLhaus · ThreatFox
  • Domaines : facture-in.pages.devVT · URLhaus · ThreatFox
  • Domaines : facture-arsys.duckdns.orgVT · URLhaus · ThreatFox
  • Domaines : faturanova.duckdns.orgVT · URLhaus · ThreatFox
  • Domaines : controlfacturas.siteVT · URLhaus · ThreatFox
  • SHA256 : 6bc2e11b0917f47d0557288c4f0cb20bd7589185943b989a969fdc6d3704ee73VT · MalwareBazaar
  • SHA256 : 540ee1936e61d2344b5ebc93485589a351ec2f113a9b4940ae16f3baa4807392VT · MalwareBazaar
  • SHA256 : e2f0c2d4c1552cd81fa012043e4a5ac832582b639b7b6b7eccc0c4802d7a8ad8VT · MalwareBazaar
  • SHA256 : 9d07a83cf89685651ea8992047ae694c24f6ddef193044357debd15ce07a64feVT · MalwareBazaar
  • SHA256 : 4c9fdc2823da505ef339d43c6ad38499b7e3447736733e42b5ab6b1afcfd42aaVT · MalwareBazaar
  • SHA256 : 5e06af187b45476ade0d953e834fced6197d0a33ac60c2575877660e26ab15e8VT · MalwareBazaar
  • SHA256 : 65c1a998bac48e02b52b1c850cd500e9fb87521e21755c3a4a491243f5f9a700VT · MalwareBazaar
  • SHA256 : 9e81ade09cc18f0fc09d73e72d2e0bffad02f52fdcc26553e473cee8cabc1567VT · MalwareBazaar
  • SHA256 : 1e77992666acbbfa0d01fcefa9cc8fbdac291e0681b35745be27c6dfb159a375VT · MalwareBazaar
  • SHA256 : fadbb8061715128bebecf7bc59132b6bb04fe8cc39b965aa5b8722dffe28d7e7VT · MalwareBazaar
  • SHA256 : 5a2ed557c357ba8f96f2d55a8a00695987806b5df766cd1dfdab0cbed111774aVT · MalwareBazaar
  • SHA256 : 19ac18a50abb48dc0ea9524850acfaec49359e6b3bcc67c6193c2d56da812c71VT · MalwareBazaar
  • SHA256 : 48723a33bab89f174750576f9a62da35b3b9e5ac31a5a8f1ce9859a1b35bf8b8VT · MalwareBazaar
  • SHA256 : 21b24f7ee1f6bdbbb670f0394d66009ee0daa8ced57048298da715e88f7a7cddVT · MalwareBazaar
  • SHA256 : d4eb4ff02df659fdeec17d36b77084627469623bb3c7d16383d257404b52d1c3VT · MalwareBazaar
  • SHA256 : ffb9eb47cc0cb2f43e04a10dc84df13d04bca1ebacbe47fad0b669728de2f59cVT · MalwareBazaar
  • SHA256 : 18fd38988d58dd930f5992d448cc09a9400c1eafba76b820b9a83239ac48cf4eVT · MalwareBazaar
  • SHA256 : 4ca2c863d740bb7022776dccabd8ae34bb9998768928042d76ebcf08984eefcbVT · MalwareBazaar
  • SHA256 : 5837e47198a20877e1b04b270c36d9194206ee38d4f32fe3151b3c3b396c4f0dVT · MalwareBazaar
  • SHA256 : e6e78eb2e9bd41a4bc62f7ad54d095ea9813864bebe37172ae30a1afa631fe14VT · MalwareBazaar
  • Fichiers : maisum.dat
  • Chemins : C:\SysMain_5874288

Malware / Outils

  • Ousaban (rat)
  • Casbaneiro (other)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ fortinet.com — source reconnue (liste interne) (20pts)
  • ✅ 13094 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 31 IOCs dont des hashes (15pts)
  • ✅ 9/9 IOCs confirmés (AbuseIPDB, MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 213.159.64.191 (ip) → VT (7/91 détections)
  • 162.33.179.46 (ip) → VT (16/91 détections)
  • 91.92.240.140 (ip) → VT (15/91 détections)
  • 6bc2e11b0917f47d… (sha256) → VT (29/75 détections)
  • 540ee1936e61d234… (sha256) → VT (26/75 détections)

🔗 Source originale : https://www.fortinet.com/blog/threat-research/analysis-of-ongoing-ousaban-attacks-targeting-the-iberian-peninsula