ESET, 2018 yılından bu yana aktif ve sürekli gelişme gösteren bu kötü amaçlı yazılım ailesini bir süredir izliyordu. Ousaban’ın arka kapı becerileri, fare ve klavye hareketlerinin yanı sıra tuş vuruşlarını taklit etmesiyle tipik bir Latin Amerika bankacılık truva atının becerileriyle benzerlik gösteriyor. Ayrıca Ousaban, hedef için özel olarak oluşturulan bindirme pencereleri yoluyla finans kuruluşlarının kullanıcılarına saldırması bakımından da Latin Amerika bankacılık truva atlarıyla benzer davranışlar gösteriyor. Ancak Ousaban’ın hedefleri, benzer e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazır bindirme pencereleri bulunuyor.
Hedef kimlik avı
Ousaban’ı araştıran ESET ekibinin koordinatörü Jakub Souček bu durumu şöyle açıkladı: “Ousaban, çok basit bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI’yı yürütmek üzere yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor. Ousaban, başlangıç dosyasında bir LNK dosyası veya basit bir VBS yükleyici oluşturur veya Windows kayıt Yürütme anahtarını değiştirir. Ayrıca, Ousaban ikili karıştırıcılar sayesinde yürütülebilir dosyalarını korur ve tespit edilmekten kaçınmak ve otomatik olarak işleme devam etmek üzere ortalama 400 MB’lık EXE dosyalarına kadar genişler.”