Olayın Önemi
Brezilya kökenli bir banka trojanı olan Ousaban, İspanya ve Portekiz’deki Windows kullanıcılarını hedef alıyor. Bu zararlı yazılımın yayılma yöntemleri ve etkili saldırı teknikleri, kullanıcıların bankacılık bilgilerini çalmayı amaçlıyor.
Saldırı Nasıl Çalışıyor?
Saldırı, bozulmuş bir dosya gibi görünen bir oltalama PDF’si ile başlıyor. Bu PDF, kurbanı “Atualizar” (Güncelle) butonuna basmaya yönlendiriyor ve ardından kötü amaçlı bir web sayfası açılıyor.
- PDF dosyası içindeki gizli JavaScript, hedef web sayfasını açmak için kullanılıyor.
- Açılan sayfa, vergi belgesi ve yükleyici portalı olarak görünerek ziyaretçileri filtreliyor.
- Önceki sürümleri IP adresi, dil ve zaman diliminin kontrolünü tarayıcıda yaparken, mevcut sürüm bu kontrolü sunucularında gerçekleştiriyor.
- İspanya veya Portekiz dışındaki ziyaretçilere, “erişim engellendi” mesajı veriliyor.
Kontrolü geçerseniz, bir dosya indirme işlemi başlatılıyor. Bir script, PDF simgesi gibi görünen bir resmi indiriyor ancak içindeki ZIP dosyasını gizliyor, bu işleme steganografi denir. ZIP dosyası Ousaban’ı çalıştırarak sistemin kayıt defnine Financeiro adıyla bir giriş ekliyor, böylece Windows ile birlikte açılıyor.
Etkilenen Sistemler
Ousaban, İspanya ve Portekiz’deki aşağıdaki bankaların kullanıcılarını hedef alıyor:
- Banco Santander
- BBVA
- CaixaBank
- Bankinter
- Caixa Geral de Depósitos
Çözüm ve Korunma
Bu saldırının temelinde eski bir taktik yatıyor. Ousaban, Javali olarak da biliniyor ve Kaspersky tarafından “Tetrade” olarak adlandırılan bir grup Brezilyalı banka trojanı arasında yer alıyor.
- PDF veya e-posta gibi belgelerin bozuk olduğunu iddia eden mesajlara dikkat edin.
- Oltalama e-postalarına karşı tedbirler alın; beklenmedik fatura veya vergi belgesi eklerini şüpheli olarak değerlendirin.
- Ousaban’ın bulunduğu sistemdeki Financeiro kayıt defteri anahtarını ve şüpheli dosyaları izleyin.
Fortinet, C:SysMain_5874288 dizinine yerleştirilen dosyaların ve belirli alan adlarının engellenmesi gerektiğini vurguluyor. FortiGuard antivirüsü, örnekleri tanıtan ve bu tür oltalama e-postalarını tespit eden bir koruma sağlıyor.
Sonuç
Kullanıcıların dikkatli olması ve bu tür oltalama girişimlerini ciddiye alması gerekmektedir. Bankacılık işlemleri sırasında herhangi bir garip durumla karşılaşmaları durumunda, güncellemeleri kontrol etmeleri ve gerekli güvenlik önlemlerini almaları son derece önemlidir. Ayrıca, güncel antivirüs yazılımları kullanmaları ve olası saldırıları önceden tespit edebilmek için güvenlik duvarlarını doğrulamalarını öneririz.


