ESET, 2018 yılından bu yana faal ve daima gelişme gösteren bu makus hedefli yazılım ailesini bir müddettir izliyordu. Ousaban’ın art kapı marifetleri, fare ve klavye hareketlerinin yanı sıra tuş vuruşlarını taklit etmesiyle tipik bir Latin Amerika bankacılık truva atının hünerleriyle benzerlik gösteriyor. Ayrıyeten Ousaban, gaye için özel olarak oluşturulan bindirme pencereleri yoluyla finans kuruluşlarının kullanıcılarına saldırması bakımından da Latin Amerika bankacılık truva atlarıyla misal davranışlar gösteriyor. Lakin Ousaban’ın amaçları, emsal e-posta hizmetlerini de içeriyor. Bu e-posta hizmetleri için de hazır bindirme pencereleri bulunuyor.
Maksat kimlik avı
Ousaban’ı araştıran ESET grubunun koordinatörü Jakub Soucek bu durumu şöyle açıkladı: “Ousaban, çok kolay bir dağıtım zinciri kullanarak kimlik avı e-postaları ile yayılıyor. Kurban, kimlik avı e-postasının ekindeki bir MSI’yı yürütmek üzere yanlış yönlendiriliyor. MSI yürütüldüğünde yasal bir uygulama, bir enjektör ve şifreli Ousaban içeren bir ZIP arşivini indirip içindekileri çıkaran gömülü bir JavaScript indiriciyi başlatıyor. DLL yan yana yükleme kullanan bankacılık truva atının şifresi sonunda çözülüyor ve yürütülüyor. Ousaban, başlangıç belgesinde bir LNK evrakı yahut kolay bir VBS yükleyici oluşturur yahut Windows kayıt Yürütme anahtarını değiştirir. Ayrıyeten, Ousaban ikili karıştırıcılar sayesinde yürütülebilir belgelerini korur ve tespit edilmekten kaçınmak ve otomatik olarak sürece devam etmek üzere ortalama 400 MB’lık EXE evraklarına kadar genişler.”