s0669-ousaban - RunkIntel

# Ousaban > Tipo: **banking trojan** · MITRE S0669 · [ESET WeLiveSecurity](https://www.welivesecurity.com) · [MITRE ATT&CK](https://attack.mitre.org/software/S0669) > [!danger] Ousadia em Nome e em Acoes > O nome "Ousaban" deriva das palavras portuguesas "ousadia" (boldness) + "banking trojan". A ESET escolheu este nome pela audacia de usar imagens obscenas como isca na distribuição. Ativo exclusivamente no Brasil desde 2018, com telemetria da ESET mostrando surto significativo de crescimento em 2021. Único trojan LATAM que também mira servicos de email alem de bancos. ## Visão Geral [[s0669-ousaban|Ousaban]] (também conhecido como **Javali**) e um banking trojan de origem **brasileira**, escrito em **Delphi**, rastreado pela ESET desde 2018 e com MITRE ATT&CK ID **S0669**. Ativo quase exclusivamente no Brasil, e parte do ecossistema de trojans bancarios latino-americanos. Caracteristica mais notavel: e o **único banking trojan LATAM** que, alem de bancos, também mira **servicos de email populares** com jánelas overlay específicas. A ESET denominou esta familia combinando "ousadia" (nome escolhido pela audacia de usar imagens sexualmente obscenas como isca na cadeia de distribuição) e "banking trojan". **Caracteristicas técnicas distintas:** - Alvo: 50+ instituicoes financeiras brasileiras + servicos de email (Gmail, Hotmail, etc.) - Uso do protocolo **RealThinClient** para comunicação C2 - também usado pelo [[s0531-grandoreiro|Grandoreiro]] - Instalacao de **RDPWrap** na maquina da vitima para acesso RDP nao-autorizado - Modificacao de configuracoes de **RDP e firewall** do Windows - Criação de nova **conta de administrador local** na maquina infectada - Binarios inflados a **~400MB** com binary padding para evadir análise automatizada - Abuso de servicos cloud: Amazon S3, Azure, Pastebin para infrastuctura C2 - Telegram possívelmente usado para comunicação C2 via Webhooks (amostras recentes) **Relevância Brasil:** A telemetria ESET de 2021 mostrou aumento surpreendente na atividade do Ousaban - classificado entre os 3 trojans LATAM com maior crescimento naquele ano, ao lado de [[s0531-grandoreiro|Grandoreiro]] e [[casbaneiro|Casbaneiro]]. Foco exclusivo no Brasil com overlay para 50+ bancos brasileiros. ## Como Funciona ### Cadeia de Distribuição Ousaban e distribuido via emails de phishing com MSI como anexo. A cadeia e direta: 1. Email de phishing -> MSI em anexo 2. MSI executa JavaScript embutido como CustomAction 3. JavaScript (obfuscado) baixa ZIP de cloud (Amazon ou Azure) 4. ZIP e descomprimido; executavel renomeado e executado via WMIC 5. Executavel nao-malicioso com assinatura válida carrega DLL Ousaban via DLL side-loading 6. Payload Ousaban (criptografado, nomeado "ZapfDingbats.pdf") e carregado e descriptografado em memoria **Detalhe cloud:** O JavaScript envia GET request para URL Azure separada alertando ao atacante e registrando o IP da vitima antes de prosseguir com a infecção. ### Caracteristicas de Acesso Remoto O Ousaban vai alem do overlay tipico: - Instala **RDPWrap** - wrapper que habilita múltiplas sessoes RDP simultaneas no Windows - Modifica configuracoes de RDP (habilita servico, ajusta porta) - Desabilita ou modifica firewall do Windows para permitir conexoes remotas - Cria nova conta de administrador local como backdoor persistente - O atacante pode então conectar diretamente ao sistema via RDP ### Comúnicação C2 via RealThinClient Usa o protocolo RealThinClient para comunicação C2 com codificacao nao-padrao - o mesmo protocolo usado pelo [[s0531-grandoreiro|Grandoreiro]], indicando possível cooperação técnica ou inspiracao mutua entre os grupos. ## Attack Flow ```mermaid graph TB A["📧 Phishing com MSI Imagem obscena como isca ou tema fiscal/corporativo"] --> B["📦 MSI + JavaScript CustomAction executa JS JS obfuscado inicia download"] B --> C["☁️ Download de Cloud Amazon S3 ou Azure ZIP com payload criptografado"] C --> D["🔄 DLL Side-Loading Executavel assinado carrega DLL Ousaban"] D --> E["🔧 Modificacoes de Sistema RDPWrap instalado Firewall modificado Conta admin criada"] E --> F["👁️ Monitoramento de Jánelas Bancos + servicos email Gmail, Hotmail, bancarios"] F --> G["🪟 Overlay Específico Jánela falsa customizada para banco detectado"] G --> H["🔑 Acesso RDP + Credenciais Operador conecta via RDP Dados capturados via C2"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef loader fill:#e67e22,stroke:#d35400,color:#fff classDef cloud fill:#3498db,stroke:#2980b9,color:#fff classDef system fill:#8e44ad,stroke:#7d3c98,color:#fff classDef monitor fill:#27ae60,stroke:#229954,color:#fff classDef exfil fill:#2c3e50,stroke:#1a252f,color:#fff class A phishing class B loader class C cloud class D,E system class F,G monitor class H exfil ``` ## Linha do Tempo ```mermaid timeline title Evolução do Ousaban 2018 : Primeiras amostras detectadas : ESET inicia rastreamento : Foco exclusivo no Brasil 2021 : ESET publica análise completa em maio : "Ousaban - Private photo collection hidden in a CABinet" : RDPWrap e criação de conta admin documentados 2021 : Setembro - Surto de crescimento detectado : Telemetria mostra aumento significativo : Entre top 3 familias LATAM em crescimento 2022 : Netskope documenta abuso de cloud (S3, Azure, Pastebin) : Telegram possívelmente como C2 alternativo 2024 : Continua ativo em telemetria : 50+ bancos brasileiros alvo confirmados ``` | Período | Evento | |---------|--------| | 2018 | Primeiras amostras Ousaban detectadas - Brasil exclusivo | | Mai/2021 | ESET pública "Ousaban - Private photo collection hidden in a CABinet" | | Set/2021 | Surto de crescimento - telemetria mostra aumento significativo na atividade | | Ago/2022 | Netskope documenta abuso extensivo de servicos cloud na cadeia de ataque | | Dez/2021 | ESET confirma Ousaban ativo entre as 8 familias LATAM operacionais | ## TTPs Mapeados | Tática | Técnica | Uso pelo Ousaban | |--------|---------|-----------------| | Resource Development | T1583.001 | Registro de dominios proprios para C2 | | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | MSI como anexo de email de phishing | | Execution | [[t1204-002-user-execution-malicious-file\|T1204.002]] | Vitima executa MSI do email | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell em algumas cadeias de distribuição | | Execution | [[t1059-003-windows-command-shell\|T1059.003]] | cmd.exe para executar apps legitimos que carregam Ousaban | | Execution | [[t1059-007-javascript\|T1059.007]] | JavaScript obfuscado no MSI como CustomAction | | Persistence | [[t1098-account-manipulation\|T1098]] | Registro de nova conta de administrador local | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | LNK ou VBS loader na pasta Startup ou Run key | | Defense Evasion | [[t1574-002-dll-side-loading\|T1574.002]] | App assinado carrega DLL Ousaban | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Modificacao de configuracoes RDP do sistema | | Defense Evasion | [[t1562-004-disable-or-modify-system-firewall\|T1562.004]] | Desabilitacao/modificacao do firewall Windows | | Defense Evasion | [[t1027-001-binary-padding\|T1027.001]] | Binarios inflados a ~400MB | | Defense Evasion | [[t1027-002-software-packing\|T1027.002]] | Proteção com Themida ou Enigma | | Execution | [[t1218-007-msiexec\|T1218.007]] | Uso de MSI para execução | | Discovery | [[t1010-application-window-discovery\|T1010]] | Monitoramento de jánelas de bancos e email | | Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Coleta de info sobre software de segurança | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de nome e versao do computador | | Collection | [[t1113-screen-capture\|T1113]] | Screenshots durante ataque | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogging de credenciais | | C2 | [[t1219-remote-access-software\|T1219]] | Instalacao do RDPWrap para acesso RDP remoto | | C2 | [[t1132-002-non-standard-encoding\|T1132.002]] | RealThinClient com codificacao nao-padrao | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via C2 | ## Relevância LATAM/Brasil > [!danger] Ousaban no Contexto LATAM 2021-2024 > Em 2021, o Ousaban estava entre os trojans LATAM com maior crescimento em telemetria, demonstrando que o grupo por tras dele estava expandindo operações ativamente. Com RDPWrap e modificacao de firewall, Ousaban vai alem do overlay tipico - oferece ao atacante acesso persistente e direto ao computador da vitima. > [!tip] Diferencial: Mira Email Alem de Bancos > O Ousaban e o **único banking trojan LATAM** com overlays específicamente preparados para servicos de email (Gmail, Hotmail e outros). Isso permite capturar senhas de email da vitima - abrindo caminho para comprometimento de contas adicionais e campanhas de spear-phishing mais convincentes a partir do email real da vitima. **Setores impactados:** - [[financial|Financeiro]] - 50+ bancos brasileiros com overlays específicos - Servicos de comunicação - email (Gmail, Hotmail) como vetor de expansao ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **RDPWrap Installation:** Monitorar instalacao de RDPWrap (rdpwrap.dll, termsrv.dll patch) como IOC critico > - **Firewall Modification:** Detectar processos nao-administrativos modificando regras de firewall Windows via `netsh` ou APIs equivalentes > - **New Admin Account:** Alertar para criação de nova conta local com privilegios de administrador por processos de usuario > - **Binary Padding:** Monitorar execução de DLLs >100MB de diretorios temporarios > - **Cloud C2 Pattern:** DLL Delphi acessando S3/Azure/Pastebin em sequencia rapida como IOC de config C2 > - **RealThinClient Protocol:** Detectar trafego de rede com assinatura do protocolo RealThinClient para IPs nao-corporativos **Controles recomendados:** - [[m1038-execution-prevention|M1038]] - bloquear execução de MSI de origens externas nao-confiadas - [[m1026-privileged-account-management|M1026]] - monitorar criação de contas locais privilegiadas - Desabilitar RDP onde nao for necessário; monitorar RDPWrap como software nao-autorizado ## Referências - [1](https://www.welivesecurity.com/deutsch/2021/05/07/banking-trojaner-ousaban-analysiert/) ESET WeLiveSecurity - Ousaban Banking Trojaner analysiert (Tabela completa MITRE) (2021) - [2](https://www.eset.com/sg/about/newsroom/press-releases1/awards/eset-research-into-latin-american-banking-trojans-continues-bold-ousaban-steals-credentials-with-ob-2/) ESET - ESET Research into Latin Américan banking trojans: Bold Ousaban (2021) - [3](https://www.netskope.com/blog/ousaban-latam-banking-malware-abusing-cloud-services) Netskope - Ousaban: LATAM Banking Malware Abusing Cloud Services (2022) - [4](https://attack.mitre.org/software/S0669) MITRE ATT&CK - S0669 Ousaban - [5](https://www.welivesecurity.com/2021/12/15/dirty-dozen-latin-america-amavaldo-zumanek/) ESET WeLiveSecurity - The dirty dozen of Latin América (2021)