ハッカーがジオフェンス化したWebページを悪用、スペインとポルトガルにバンキング型トロイの木馬「Ousaban」を配布

スペインとポルトガルのユーザーを狙った標的型フィッシングキャンペーンが確認されました。このキャンペーンはバンキング型トロイの木馬「Ousaban」を配布するもので、ジオフェンス化されたWebページの使用、多層的な検知回避技術、モジュール式の配信チェーンが特徴です。

攻撃者はブラジルで過去に確認された手口を流用しつつ、アクセス制御とサーバーサイドのチェック機構を改良し、マルウェアが意図した地域の被害者にのみ到達するようにしています。これにより、研究者や自動解析システムによる検知を回避しやすくしています。

攻撃はフィッシングPDFから始まります。このPDFは破損した文書を装い、ユーザーに「Atualizar」(更新)を促します。

このPDFには16進数エスケープされたJavaScriptが埋め込まれており、偽のエラーボックスを表示した後、被害者を悪意のあるWebページへと誘導します。

そのWebページは税務書類やシステムインストーラーの正規のリポジトリを装うよう巧妙に作り込まれていますが、まず環境の検証を行います。

Image

初期バージョンのページでは、ほとんどのチェックがクライアント側で実行されていました。言語設定、タイムゾーン、IPアドレスから導き出される組織情報(VPN利用の兆候)、画面解像度、フォントの列挙、その他のブラウザフィンガープリントを調べることで、サンドボックスやクローラーを検出していました。

スペイン・ポルトガル以外からの訪問者には「Service not available from your country(お住まいの国からはご利用いただけません)」と表示されます。このサーバーサイドへの移行により、正確な選別基準が見えにくくなり、解析担当者による再現も困難になっています。

FortiGuard Labsによると、2026年5月版では攻撃者はロジックの大部分をサーバー側に移行させました。ページは環境に関するテレメトリ情報をオペレーターに送信し、サーバー側が許可・拒否の判断を下します。対象外と判断された場合は、地域固有の「アクセスが拒否されました」というPDFを返します。

サーバーサイドのチェックによってスペインまたはポルトガルの標的であることが確認されると、サイトはVBSダウンローダーを配布します。このVBSには一見無害に見える関数が多数含まれており、次のようなステルス性の高いチェーンを使用します。まずPDFアイコンを装ったステガノグラフィ画像を取得し、そこに付加されたZIPアーカイブを抽出して、DLLまたはEXE形式のペイロードを復元します。

バンキング型トロイの木馬「Ousaban」

ダウンロードされたファイルはTempフォルダに一時保存され、最終的な実行ファイルはC:\SysMain_5874288配下に配置されます。その後、VBSは痕跡を消去してフォレンジック調査での検出を最小限に抑えます。実行はDLLサイドローディングまたは直接のプロセスインジェクションによって行われ、これはOusabanの従来の配備パターンと一致しています。

Image

Ousaban自体は、永続化機能と動的なC2解決機能を備えた高機能なバンキング型トロイの木馬です。実行されると「Financeiro」という名前のRunキーを作成し、インストール時刻を記録するための空のマーカーファイル「maisum.dat」を生成します。

このマルウェアは、Casbaneiroなどラテンアメリカのバンキングマルウェアファミリーでこれまでも確認されてきた独自のバイト単位アルゴリズムを使い、埋め込まれた銀行関連文字列のリストを復号します。

このアルゴリズムはランダムな初期バイトをローリングオフセットとして使用し、鍵付きのXOR減算処理によって暗号文を生成するため、同一の平文であっても暗号文が毎回変化し、シグネチャベースの検知を困難にしています。

MSIインストーラーにはRust製のダウンローダーが含まれており、これがOusabanのペイロードをダウンロードして実行します。

設定情報の取り扱いとC2の探索方法は適応的です。サンプルはPastebinへのリンクを復号しますが、そこには(プライベートIPアドレスを含む)設定データがあり、これはおとりである可能性が高いとみられます。実際のC2解決は、DDNSで管理されたドメインから行われ、その日替わりサブドメインには、ハードコードされた文字列と現在の日付をシードとしたMD5ハッシュの先頭8文字が含まれます。

Image

Ousabanは、Googleの自動検索クエリ用ページに問い合わせることで日付を取得し、ホスト名を組み立てて、攻撃者が管理するサーバーに接続します。

通信内容とコマンドペイロードは同じ独自アルゴリズムで暗号化されています。対応するコマンドには、情報収集、被害者ID割り当て、ハートビート、画面解像度の取得、リモート制御、スクリーンショット取得、クリップボードおよびキーロギング機能、さらに被害者を欺くための偽メッセージ表示などが含まれます。

今回のキャンペーンは、極めて限定的かつ標的を絞った配布手法への傾向を示しています。ジオフェンシング、サーバーサイドでの環境検証、ステガノグラフィによるペイロードの隠蔽、短命なインフラなどにより、露出を減らし、テレメトリ情報の収集を妨げています。

防御担当者は、PDFによる誘導、VBSダウンローダーのパターン、ZIPが付加されたステガノグラフィ画像、C:\SysMain_*というステージングパス、「Financeiro」という永続化キー、そして日替わりサブドメインを持つDDNSドメインへの通信といった指標を監視する必要があります。

IOC(侵害指標)

種別
Domain faturanova[.]xyz
Domain facture-in[.]pages[.]dev
Domain facture-arsys[.]duckdns[.]org
Domain faturanova[.]duckdns[.]org
Domain controlfacturas[.]site
IP 213[.]159[.]64[.]191
IP 162[.]33[.]179[.]46
IP 91[.]92[.]240[.]140
IP 78[.]40[.]209[.]32
PDF SHA256 6bc2e11b0917f47d0557288c4f0cb20bd7589185943b989a969fdc6d3704ee73
PDF SHA256 540ee1936e61d2344b5ebc93485589a351ec2f113a9b4940ae16f3baa4807392
PDF SHA256 e2f0c2d4c1552cd81fa012043e4a5ac832582b639b7b6b7eccc0c4802d7a8ad8
PDF SHA256 9d07a83cf89685651ea8992047ae694c24f6ddef193044357debd15ce07a64fe
PDF SHA256 4c9fdc2823da505ef339d43c6ad38499b7e3447736733e42b5ab6b1afcfd42aa
PDF SHA256 5e06af187b45476ade0d953e834fced6197d0a33ac60c2575877660e26ab15e8

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化表記(例: [.])にしています。再度有効な表記に戻す作業は、MISP、VirusTotal、あるいはお使いのSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://gbhackers.com/ousaban-banking-trojan/

ソース: gbhackers.com