Ousaban cible les utilisateurs bancaires en Espagne et au Portugal via geofencing et stéganographie

🔍 Contexte En mai 2026, FortiGuard Labs a identifiĂ© une campagne active du trojan bancaire Ousaban ciblant spĂ©cifiquement les utilisateurs en Espagne et au Portugal. L’article, publiĂ© le 1er juillet 2026, constitue une analyse technique approfondie de cette campagne gĂ©olocalisĂ©e. 🎯 Vecteur d’infection et chaĂźne d’attaque La chaĂźne d’attaque se dĂ©roule en plusieurs Ă©tapes : PDF de phishing : dĂ©guisĂ© en fichier corrompu, il incite la victime Ă  cliquer sur un bouton « Atualizar » (Mettre Ă  jour) via un message trompeur. Un code JavaScript hex-escapĂ© redirige Ă©galement vers la mĂȘme page malveillante. Page web malveillante : se fait passer pour une source lĂ©gitime de documents fiscaux. Elle effectue des vĂ©rifications d’environnement cĂŽtĂ© serveur (langue, fuseau horaire, IP, rĂ©solution d’écran, rendu navigateur, Ă©numĂ©ration de polices) pour restreindre l’accĂšs aux seuls utilisateurs en Espagne et au Portugal. Les IP liĂ©es Ă  des VPN sont bloquĂ©es. Fichier VBS : tĂ©lĂ©chargĂ© si l’environnement passe la vĂ©rification. Il contient de nombreux appels de fonctions bĂ©nins pour masquer le code malveillant, puis tĂ©lĂ©charge une image stĂ©ganographique (ressemblant Ă  une icĂŽne PDF) contenant un fichier ZIP avec le payload Ousaban. Payload EXE : dĂ©posĂ© dans C:\SysMain_5874288 et exĂ©cutĂ©. Les fichiers ZIP, image et VBS sont supprimĂ©s aprĂšs exĂ©cution. 🩠 Comportement d’Ousaban Persistance : crĂ©ation d’une valeur de registre nommĂ©e Financeiro dans CurrentVersion\Run Marqueur d’installation : crĂ©ation d’un fichier vide maisum.dat Ciblage bancaire : dĂ©chiffrement de chaĂźnes liĂ©es Ă  des services bancaires pour surveiller l’accĂšs aux banques cibles Algorithme de chiffrement custom : partagĂ© avec d’autres trojans bancaires latino-amĂ©ricains comme Casbaneiro, basĂ© sur XOR avec offset alĂ©atoire RĂ©solution C2 dynamique : utilisation de DDNS avec sous-domaines changeant quotidiennement (prĂ©fixe aki + 8 premiers caractĂšres d’un hash MD5 basĂ© sur la date et une chaĂźne hardcodĂ©e). La date est obtenue en accĂ©dant Ă  la page Google Automated Queries. Leurre Pastebin : un lien Pastebin contenant une IP privĂ©e est dĂ©chiffrĂ© mais sert de leurre ; la vraie rĂ©solution C2 passe par les domaines DDNS. Commandes C2 : #Convite# (collecte d’infos), #Handle# (ID victime), #ON-LINE# (heartbeat), #xyScree# (rĂ©solution Ă©cran), #Iniciar# (capture d’écran, contrĂŽle Ă  distance, keylogger, injection clipboard) 📅 Variantes fin 2025 Des variantes de fin 2025 utilisaient : ...

3 juillet 2026 Â· 5 min
Derniùre mise à jour le: 3 juillet 2026 📝