文章总结: 该文档分析了一起针对西班牙和葡萄牙用户的Ousaban银行木马攻击活动。攻击者利用服务器端地理围栏技术过滤非目标用户,通过伪装成损坏PDF的钓鱼文件诱导受害者下载VBS脚本。脚本使用隐写术从图像中提取ZIP文件以释放恶意载荷。木马采用自定义XOR算法加密银行列表,监控浏览器活动并解析动态DDNS域名进行C2通信。建议安全团队过滤PDF钓鱼邮件并监控持久性痕迹与DDNS解析行为。 综合评分: 85 文章分类: 恶意软件,威胁情报,安全意识,漏洞分析,应急响应
黑客利用服务器端地理围栏技术在西班牙和葡萄牙传播 Ousaban 银行木马
原创
ZM ZM
暗镜
2026年7月13日 07:00 北京
在小说阅读器读本章
去阅读
这是一场有针对性的攻击活动,利用复杂的服务器端地理围栏和多阶段投放技术,向西班牙和葡萄牙的用户投放 Ousaban 银行木马程序。攻击者首先使用经过社会工程设计的钓鱼 PDF 文件,该文件伪装成损坏的文档,并通过“更新”提示胁迫受害者访问恶意网页。
该PDF文件中的JavaScript代码经过十六进制转义以逃避检测,它会触发相同的着陆页,同时显示一个错误框诱使用户点击。如果受害者点击链接,网页会在继续之前执行全面的环境检查。
与将逻辑暴露给分析人员的客户端检查不同,攻击者将这些控制转移到了服务器端。该登录页面伪装成合法的税务或安装程序页面,并收集 IP 地址、语言、时区、组织元数据以及设备特征(例如屏幕分辨率、字体枚举和浏览器渲染指纹)。
服务器端检查会明确拒绝非目标用户的访问,如果请求并非来自西班牙或葡萄牙,则会返回西班牙语的“访问被拒绝。您所在的国家/地区无法提供服务”PDF 文件。
该页面还会通过检查组织字符串中是否存在“vpn”等关键字来过滤 VPN 连接的 IP 地址,并评估浏览器阻止沙箱或爬虫的功能。
这种服务器端门控既能减少附带感染,又能对防御者隐藏确切的地理围栏标准。
VBS脚本随后会删除镜像、ZIP文件和脚本,以最大程度地减少取证痕迹。此前在巴西发生的Ousaban攻击活动是通过带有Rust下载器的MSI安装程序传播的;本次攻击活动沿用了这种安装程序风格和相同的最终有效载荷。
从映像中附加 ZIP,检索其中的 MSI/EXE 有效载荷,并将最终可执行文件放到 C:\SysMain_5874288,然后再执行它。
2026年5月,FortiGuard Labs 发现了一起针对西班牙和葡萄牙用户的攻击,该攻击涉及银行木马 Ousaban。这种恶意软件曾在巴西活跃,并通过 MSI 下载器传播。
一旦激活,Ousaban 会创建一个名为“Financeiro”的运行注册表值,并写入一个时间戳文件 maisum.dat,以确保其持久性。该恶意软件使用自定义的字节偏移 XOR 算法解密嵌入的针对银行的字符串列表,这种算法在拉丁美洲银行木马(例如 Casbaneiro)中很常见。
随机的初始字节会为相同的明文生成不同的密文,这使得静态分析变得复杂。Ousaban 会监控浏览器活动,并在用户访问特定银行服务时触发,然后解析每日变化的 C2 主机名。
环境检查通过后,服务器会提供一个 VBS 下载器。该 VBS 下载器包含看似无害的辅助函数调用,但实际上却执行着一个隐蔽的操作:它会下载一个伪装成 PDF 图标的隐写图像。
主机名生成过程将硬编码字符串与当前日期连接起来,计算 MD5 哈希值,并构造一个以“aki”加上前八个哈希字符开头的 DDNS 子域名;该恶意软件通过查询 Google 的自动查询页面来获取当前日期,以避免篡改本地时钟。
与 C2 的通信使用相同的自定义加密和轻量级命令集:#Convite#(收集信息)、#Handle#(分配受害者 ID)、#ON-LINE#(心跳)、#xyScree#(屏幕分辨率)、#Iniciar#(启动屏幕截图和远程控制)。
在样本中发现的 Pastebin 链接似乎是一个诱饵,其中包含一个私有 IP 地址;Ousaban 变种在 2025 年末使用了类似的帖子,这使得该痕迹虽然不是主要的 C2 解析方法,但对狩猎很有用。
分析师应跟踪 DDNS 域名、Pastebin 引用和 MSI 下载器指纹,并查找 Financeiro Run 密钥和 maisum.dat 时间戳文件的创建情况作为主机指标。
此次行动凸显了运营商的运营纪律:通过服务器端检查进行有意识的地理限制,使用隐写术检索有效载荷,以及弹性 C2 解析。
西班牙和葡萄牙的安全团队应优先考虑对基于 PDF 的网络钓鱼邮件进行过滤,制定 VBS 下载器和隐写图像+ZIP 模式的检测规则,并监控 Ousaban 的持久性痕迹和 DDNS 解析行为。
| | | | — | — | | domain | faturanova.xyz | | domain | facture-in.pages.dev | | domain | facture-arsys.duckdns.org | | domain | faturanova.duckdns.org | | domain | controlfacturas.site | | IP | 213.159.64.191 | | IP | 162.33.179.46 | | IP | 91.92.240.140 | | IP | 78.40.209.32 | | PDF (SHA-256) | 6bc2e11b0917f47d0557288c4f0cb20bd7589185943b989a969fdc6d3704ee73 | | PDF (SHA-256) | 540ee1936e61d2344b5ebc93485589a351ec2f113a9b4940ae16f3baa4807392 | | PDF (SHA-256) | e2f0c2d4c1552cd81fa012043e4a5ac832582b639b7b6b7eccc0c4802d7a8ad8 | | PDF (SHA-256) | 9d07a83cf89685651ea8992047ae694c24f6ddef193044357debd15ce07a64fe | | PDF (SHA-256) | 4c9fdc2823da505ef339d43c6ad38499b7e3447736733e42b5ab6b1afcfd42aa | | PDF (SHA-256) | 5e06af187b45476ade0d953e834fced6197d0a33ac60c2575877660e26ab15e8 |
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《黑客利用服务器端地理围栏技术在西班牙和葡萄牙传播 Ousaban 银行木马》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论