ブラジル発のバンキング型トロイの木馬「Ousaban」、スペインとポルトガルを標的に

ブラジルで長らく利用されてきたバンキング型トロイの木馬が、スペインとポルトガルの銀行利用者を狙う形に改良されました。フィッシングPDFやステガノグラフィー、ジオフェンシングを駆使し、検知を逃れています。

Fortinet傘下のFortiGuard Labsは新たな分析の中で、「Ousaban」として知られるこのマルウェアが2026年5月以降、両国を標的に活動を続けていると報告しています。

Ousabanは「Casbaneiro」と同じラテンアメリカ系マルウェアファミリーに属するバンキング型トロイの木馬ですが、現在は標的となる被害者の前に確実に姿を現しつつ、研究者からは身を隠すための回避策を何重にもまとって展開されています。

被害者を選別するフィッシングの仕組み

攻撃は、壊れたファイルを装ったフィッシングPDFから始まります。被害者に「更新」ボタンをクリックさせることで、悪意あるWebページを開かせる仕組みです。

政府の税務ポータルを装ったこのページは、訪問者ごとにプロファイリングを行い、スペインまたはポルトガルに所在すると判断された利用者に対してのみ攻撃を続行します。

このサーバー側のチェックでは、言語設定やタイムゾーン、IPデータを調べ、VPN接続をブロックし、サンドボックス環境をふるい落とします。しかも、その判定基準は分析者に対して隠されています。

チェックを通過した訪問者には、PDFアイコンに似せた画像をダウンロードするスクリプトが送り込まれます。この画像はステガノグラフィーを用いて、Ousabanのペイロードを含むアーカイブファイルを付加した形で隠し持っています。

アプリケーションセキュリティ企業Black Duckのコンサルタント、Li Zhao氏は「Ousabanは根本的に新しいタイプの攻撃ではなく、10年来続くラテンアメリカのバンキング型トロイの木馬の伝統的な手法を高度に最適化させた進化形と言えます」と述べ、Delphi言語で書かれており、2008年頃の暗号化方式を再利用している点を指摘しています。

関連記事: スペインを狙うラテンアメリカ発のバンキング型トロイの木馬について、新たなGrandoreiro亜種がスペインを標的にの記事も参照

銀行ログインを監視

実行されると、Ousabanは被害者がSantander、BBVA、CaixaBank、Revolut、Caixa Geral de Depósitosなど、標的となる数十種類の銀行サービスのいずれかを開くのを監視します。

対象のサービスへのアクセスを検知すると、スクリーンショット取得、キーロギング、クリップボード改ざん、リモート操作といった機能を持つツールキットを起動し、偽の銀行画面を表示して利用者から情報をだまし取ります。

Ousabanの指令サーバーは固定アドレスではなく、回避性を重視した仕組みに依存しています。FortiGuardによれば、Googleのエラーページから取得した現在の日付のハッシュ値から導き出される、日ごとに変化するドメインを参照する仕組みになっており、さらにPastebin上のおとりリンクは分析者を行き止まりのプライベートIPアドレスへと誘導します。

証明書管理企業Sectigoのシニアフェロー、Jason Soroko氏は「ジオフェンシングを施したマルウェアは、対象地域の外から見ると存在しないように見えることがあります」と述べ、サンドボックスの結果を鵜呑みにするのではなく、エンドポイント、メール、DNS、プロキシの各ログを突き合わせて相関分析するようセキュリティチームに呼びかけています。

Fortinetは自社のテレメトリーデータに基づき、このキャンペーンは現在も活動を続けており、認証情報の窃取は銀行詐欺を狙ったものであると明確に述べています。

翻訳元: https://www.infosecurity-magazine.com/news/ousaban-banking-trojan-spain/

ソース: infosecurity-magazine.com