銀行系トロイの木馬「Ousaban」、ジオフェンシングを悪用したフィッシングキャンペーンでスペインとポルトガルを標的に

2026年5月、FortiGuard Labsの研究者らは、銀行系トロイの木馬「Ousaban」をスペインとポルトガルのユーザーに拡散する、極めて標的を絞ったフィッシングキャンペーンを発見しました。

これまでブラジルで活動が確認されていたこのマルウェアは、更新版で高度なジオフェンシング、ステガノグラフィ、そして毎日変化するコマンド&コントロールドメインを用いて検出を回避します。

攻撃は偽装されたPDFファイルから始まり、最終的には攻撃者に被害者のマシンへの完全なリモートアクセス権限を与え、機密性の高い金融データを窃取できる状態にします。

攻撃の一連の流れは、破損ファイルを装ったフィッシングPDFから始まります。このPDFは被害者に「Atualizar」(更新)というボタンを表示し、ユーザーを悪意あるWebページへひそかにリダイレクトする16進数エスケープされたJavaScriptを含んでいます。

このWebページは厳格な関門として機能し、税務書類やシステムインストーラーの正規の配布元を装いながら、厳密な環境チェックを実行します。

意図した標的にのみマルウェアを配信するため、サーバーはユーザーのIPアドレス、タイムゾーン、言語設定を検証します。

具体的には、スペインまたはポルトガルからの接続を狙って探し出します。このコードは画面解像度やブラウザの描画性能をチェックすることで、サンドボックスやクローラーといった自動解析ツールを積極的にブロックし、VPNに関連付けられたIPアドレスも制限します。

この環境チェックを通過できなかったユーザーには、スペイン語で「アクセス拒否」というメッセージを表示するおとりのPDFが送られます。

標的が検証を通過すると、サーバーはVBScriptファイルを配信します。このスクリプトは、一見標準的なPDFアイコンに見えるステガノグラフィ画像のダウンロードを引き起こします。

この画像の内部にはZIPアーカイブが隠されており、その中にOusabanの最終的な実行ファイルペイロードが格納されています。スクリプトはこのペイロードを被害者の一時フォルダに展開して実行し、フォレンジック調査での痕跡を最小限に抑えるため元のファイルを直ちに削除します。

Fortinetの調査によると、Ousabanは「Financeiro」という名前のレジストリ値を作成し、タイムスタンプ付きの設定ファイルを配置することで永続化を図ります。

このマルウェアは、あらかじめ定められた標的の銀行サービス一覧に基づいてWebブラウザの動作を監視します。内部の文字列を保護するため、Ousabanはラテンアメリカの銀行系トロイの木馬に共通して見られる独自の暗号化アルゴリズムを利用しています。

このプロセスではランダム化された基準オフセットと特定のXORシーケンスが用いられ、同一の平文から異なる暗号文が生成されることで、リバースエンジニアリングを困難にしています。

オフセットを調整するために数学的計算が必要な場合、このアルゴリズムはXORの結果が基準オフセットより小さいとき、差分に0xFF0xFF0xFFを加算します。

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])しています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/ousaban-geofenced-phishing-campaign/

ソース: cyberpress.org