Ousaban: Tấn công mạng ngân hàng nguy hiểm

Ousaban: Tấn công mạng ngân hàng nguy hiểm

Một chiến dịch mới đang âm thầm chiếm đoạt các phiên giao dịch ngân hàng trực tuyến trên Tây Ban NhaBồ Đào Nha, bắt đầu từ một tệp PDF bị lỗi. Mã độc Ousaban đã quay trở lại với các phương thức tinh vi nhắm vào khách hàng ngân hàng sử dụng hệ điều hành Windows tại bán đảo Iberia.

Diễn biến tấn công của Ousaban

Giai đoạn khởi tạo và lừa đảo

Quá trình lây nhiễm bắt đầu khi nạn nhân mở một tệp PDF lừa đảo (phishing PDF) thông báo tệp bị hỏng. Tệp này hướng dẫn người dùng nhấp vào nút “Atualizar” (Cập nhật).

Việc nhấp vào nút này sẽ mở một trang web độc hại được ngụy trang giống như một cổng thông tin thuế của chính phủ. Trang web này kiểm tra xem người dùng có thực sự ở Tây Ban Nha hoặc Bồ Đào Nha hay không trước khi tiếp tục tấn công.

Kỹ thuật ẩn giấu và lây nhiễm

Sau khi xác minh vị trí địa lý của mục tiêu, trang web sẽ tải xuống một tập lệnh. Tập lệnh này tiếp tục tải một tệp ảnh, được thiết kế trông giống biểu tượng tệp PDF vô hại. Kỹ thuật này, được gọi là steganography, ẩn một kho lưu trữ ZIP chứa payload Ousaban thực sự bên trong tệp ảnh.

Mã độc sau đó xóa dấu vết cài đặt của chính nó để gây khó khăn cho việc phát hiện.

Cơ chế vượt qua các biện pháp bảo mật

Chiến dịch này dựa vào việc geofencing (khoanh vùng địa lý), payload ẩn và cơ sở hạ tầng thay đổi liên tục để né tránh các công cụ bảo mật.

Trang web độc hại thực hiện kiểm tra địa chỉ IP, ngôn ngữ trình duyệt và múi giờ, đồng thời chặn kết nối qua VPN. Ban đầu, quá trình sàng lọc này chạy trực tiếp trong trình duyệt, nhưng các nhà điều hành đã chuyển nó lên máy chủ của họ để che giấu các quy tắc chính xác.

Những người dùng không vượt qua được kiểm tra sẽ nhận được thông báo “truy cập bị từ chối” bằng tiếng Tây Ban Nha. Những người vượt qua sẽ nhận được tệp ảnh chứa mã độc Ousaban.

Cơ chế tồn tại và khai thác

Payload Ousaban được cài đặt âm thầm và thiết lập cơ chế tồn tại thông qua một mục trong registry có tên “Financeiro” (tiếng Bồ Đào Nha có nghĩa là tài chính).

Khi được cài đặt, Ousaban sẽ chờ đợi cho đến khi nạn nhân truy cập vào một trong số hơn hai chục trang web ngân hàng mục tiêu, bao gồm Santander, BBVA, CaixaBank, Bankinter và Caixa Geral de Depósitos.

Khả năng tấn công và đánh cắp thông tin

Tại thời điểm này, Ousaban có thể chụp ảnh màn hình, ghi lại thao tác bàn phím, can thiệp vào clipboard và hiển thị các màn hình ngân hàng giả mạo để lừa người dùng cung cấp chi tiết đăng nhập.

Cơ chế chỉ huy và kiểm soát (Command and Control – C2) của nó được thiết kế để chống lại các nỗ lực triệt phá. Một liên kết Pastebin nhúng trong mã độc chỉ tới một địa chỉ máy chủ giả mạo, dẫn đến nơi không hữu ích.

Địa chỉ C2 thực tế thay đổi hàng ngày, được tạo ra từ một hàm băm (hash) của ngày hiện tại lấy từ trang lỗi của Google. Điều này làm cho việc chặn tên miền của ngày hôm trước trở nên vô nghĩa.

Khuyến nghị phòng chống và phát hiện

Đối với người dùng cuối và tổ chức

Cần đặc biệt cảnh giác với các email hoặc tệp PDF đáng ngờ thông báo tệp bị hỏng và yêu cầu nhấp vào “Cập nhật”. Các thông báo yêu cầu người dùng dán một lệnh để sửa lỗi (phương thức ClickFix) cũng cần được xem xét kỹ lưỡng.

Các tệp đính kèm hóa đơn, hóa đơn (factura) hoặc tài liệu thuế bất ngờ cần được kiểm tra kỹ lưỡng, đặc biệt đối với các tổ chức có nhân viên hoặc khách hàng tại Tây Ban Nha và Bồ Đào Nha.

Đối với các nhóm bảo mật

Các nhóm bảo mật nên liên kết dữ liệu nhật ký từ các điểm cuối (endpoint), email, DNS và proxy thay vì chỉ tin tưởng vào kết quả từ sandbox. Lý do là cơ chế sàng lọc phía máy chủ có thể khiến các trình quét tự động chỉ nhìn thấy trang lỗi vô hại.

Các sản phẩm bảo mật của Fortinet đã ghi nhận các mẫu và tin nhắn lừa đảo liên quan đến chiến dịch này.

Thông tin kỹ thuật bổ sung

Ousaban thuộc về một họ mã độc ngân hàng nổi tiếng của Brazil, đôi khi được nhóm cùng với Grandoreiro, Guildma và Melcoz dưới biệt danh “Tetrade”. Phiên bản mới này sử dụng một lớp vỏ bọc được xây dựng đặc biệt để tiếp cận các nạn nhân thực tế ở hai quốc gia này, đồng thời duy trì sự vô hình đối với các nhà nghiên cứu và trình quét tự động ở những nơi khác.

Chuỗi tấn công dựa nhiều vào tệp PDF giả mạo và một trình tải xuống kiểu VBS hoạt động cùng nhau thay vì một tệp độc hại duy nhất. Mã JavaScript ẩn bên trong tệp PDF lừa đảo có thể tự động mở trang web độc hại, do đó ngay cả một cú nhấp chuột cẩn thận cũng không phải lúc nào cũng cần thiết.

IP và tên miền được làm mờ có chủ đích (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết tình cờ. Chỉ định lại định dạng (Re-fang) trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.

Thông tin chi tiết về các cuộc tấn công đang diễn ra của Ousaban nhằm vào bán đảo Iberia có thể tham khảo thêm từ báo cáo của Fortinet: Fortinet Threat Research.