<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Casbaneiro on CyberVeille</title>
    <link>https://cyberveille.ch/tags/casbaneiro/</link>
    <description>Recent content in Casbaneiro on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Fri, 03 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/casbaneiro/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Ousaban cible les utilisateurs bancaires en Espagne et au Portugal via geofencing et stéganographie</title>
      <link>https://cyberveille.ch/posts/2026-07-03-ousaban-cible-les-utilisateurs-bancaires-en-espagne-et-au-portugal-via-geofencing-et-steganographie/</link>
      <pubDate>Fri, 03 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-03-ousaban-cible-les-utilisateurs-bancaires-en-espagne-et-au-portugal-via-geofencing-et-steganographie/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;En mai 2026, &lt;strong&gt;FortiGuard Labs&lt;/strong&gt; a identifié une campagne active du &lt;strong&gt;trojan bancaire Ousaban&lt;/strong&gt; ciblant spécifiquement les utilisateurs en &lt;strong&gt;Espagne et au Portugal&lt;/strong&gt;. L&amp;rsquo;article, publié le 1er juillet 2026, constitue une analyse technique approfondie de cette campagne géolocalisée.&lt;/p&gt;
&lt;h2 id=&#34;-vecteur-dinfection-et-chaîne-dattaque&#34;&gt;🎯 Vecteur d&amp;rsquo;infection et chaîne d&amp;rsquo;attaque&lt;/h2&gt;
&lt;p&gt;La chaîne d&amp;rsquo;attaque se déroule en plusieurs étapes :&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;PDF de phishing&lt;/strong&gt; : déguisé en fichier corrompu, il incite la victime à cliquer sur un bouton « Atualizar » (Mettre à jour) via un message trompeur. Un code &lt;strong&gt;JavaScript hex-escapé&lt;/strong&gt; redirige également vers la même page malveillante.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Page web malveillante&lt;/strong&gt; : se fait passer pour une source légitime de documents fiscaux. Elle effectue des &lt;strong&gt;vérifications d&amp;rsquo;environnement côté serveur&lt;/strong&gt; (langue, fuseau horaire, IP, résolution d&amp;rsquo;écran, rendu navigateur, énumération de polices) pour restreindre l&amp;rsquo;accès aux seuls utilisateurs en Espagne et au Portugal. Les IP liées à des VPN sont bloquées.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Fichier VBS&lt;/strong&gt; : téléchargé si l&amp;rsquo;environnement passe la vérification. Il contient de nombreux appels de fonctions bénins pour masquer le code malveillant, puis télécharge une &lt;strong&gt;image stéganographique&lt;/strong&gt; (ressemblant à une icône PDF) contenant un fichier ZIP avec le payload Ousaban.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Payload EXE&lt;/strong&gt; : déposé dans &lt;code&gt;C:\SysMain_5874288&lt;/code&gt; et exécuté. Les fichiers ZIP, image et VBS sont supprimés après exécution.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-comportement-dousaban&#34;&gt;🦠 Comportement d&amp;rsquo;Ousaban&lt;/h2&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Persistance&lt;/strong&gt; : création d&amp;rsquo;une valeur de registre nommée &lt;code&gt;Financeiro&lt;/code&gt; dans &lt;code&gt;CurrentVersion\Run&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Marqueur d&amp;rsquo;installation&lt;/strong&gt; : création d&amp;rsquo;un fichier vide &lt;code&gt;maisum.dat&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Ciblage bancaire&lt;/strong&gt; : déchiffrement de chaînes liées à des services bancaires pour surveiller l&amp;rsquo;accès aux banques cibles&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Algorithme de chiffrement custom&lt;/strong&gt; : partagé avec d&amp;rsquo;autres trojans bancaires latino-américains comme &lt;strong&gt;Casbaneiro&lt;/strong&gt;, basé sur XOR avec offset aléatoire&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Résolution C2 dynamique&lt;/strong&gt; : utilisation de &lt;strong&gt;DDNS&lt;/strong&gt; avec sous-domaines changeant quotidiennement (préfixe &lt;code&gt;aki&lt;/code&gt; + 8 premiers caractères d&amp;rsquo;un hash MD5 basé sur la date et une chaîne hardcodée). La date est obtenue en accédant à la page Google Automated Queries.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Leurre Pastebin&lt;/strong&gt; : un lien Pastebin contenant une IP privée est déchiffré mais sert de leurre ; la vraie résolution C2 passe par les domaines DDNS.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Commandes C2&lt;/strong&gt; : &lt;code&gt;#Convite#&lt;/code&gt; (collecte d&amp;rsquo;infos), &lt;code&gt;#Handle#&lt;/code&gt; (ID victime), &lt;code&gt;#ON-LINE#&lt;/code&gt; (heartbeat), &lt;code&gt;#xyScree#&lt;/code&gt; (résolution écran), &lt;code&gt;#Iniciar#&lt;/code&gt; (capture d&amp;rsquo;écran, contrôle à distance, keylogger, injection clipboard)&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;-variantes-fin-2025&#34;&gt;📅 Variantes fin 2025&lt;/h2&gt;
&lt;p&gt;Des variantes de fin 2025 utilisaient :&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
