Ousaban es un troyano bancario diseñado para robar información sensible de los usuarios, particularmente credenciales de acceso a cuentas bancarias y otros datos financieros. Utiliza técnicas de inyección de código para interceptar y modificar el tráfico de los navegadores, lo que le permite capturar información durante las transacciones en línea. Además, Ousaban puede aprovechar vulnerabilidades en los sistemas operativos y aplicaciones para obtener acceso no autorizado a los dispositivos afectados.

Este malware también puede implementar funcionalidades de control remoto, permitiendo a los atacantes gestionar el dispositivo comprometido y ejecutar acciones maliciosas de forma encubierta. Su capacidad para manipular transacciones y su enfoque en la recolección de datos financieros lo convierten en una amenaza significativa para los usuarios y las instituciones financieras.

Funcionamiento

Ousaban es un troyano bancario sofisticado que ha evolucionado para incluir múltiples funcionalidades que permiten a los atacantes robar información financiera y personal de las víctimas. Este malware se caracteriza por su capacidad de evadir la detección y su adaptabilidad, lo que lo convierte en una amenaza persistente en el ámbito de la ciberseguridad.

Mecanismos de Infección

Ousaban se propaga principalmente a través de correos electrónicos de phishing, enlaces maliciosos y descargas de software disfrazado de aplicaciones legítimas. Una vez que un usuario ejecuta el archivo infectado, el troyano se instala en el sistema y establece una conexión con un servidor de comando y control (C2), lo que permite a los atacantes recibir instrucciones y actualizar el malware.

Funcionalidades Clave

  1. Captura de Credenciales: Ousaban utiliza técnicas de inyección de código en navegadores para alterar las páginas de inicio de sesión de servicios financieros. Esto engaña a las víctimas, que ingresan sus credenciales en formularios falsificados. El malware captura esta información y la envía a los servidores controlados por los atacantes.
  2. Intercepción de Comunicación: Este troyano puede interceptar la comunicación entre la víctima y las aplicaciones de banca en línea. Al modificar las solicitudes y respuestas de las transacciones, los atacantes pueden manipular las acciones del usuario y desviar fondos a cuentas controladas por ellos.
  3. Keylogging: Ousaban también implementa capacidades de keylogging que registran las pulsaciones de teclas en el sistema infectado. Esto permite a los atacantes obtener no solo credenciales bancarias, sino también otra información sensible que pueda ser útil para el robo de identidad o fraude.
  4. Robo de Datos Adicionales: Además de la información bancaria, Ousaban puede recolectar otros datos personales almacenados en el dispositivo, como información de tarjetas de crédito y credenciales de acceso a otros servicios en línea.

Persistencia y Evasión

Ousaban tiene la capacidad de ocultarse en el sistema de varias maneras. Puede crear entradas en el registro de Windows, programar tareas para reiniciarse automáticamente y utilizar técnicas de ofuscación para dificultar la detección por parte de software antivirus. También puede deshabilitar programas de seguridad y eludir medidas de protección mediante el uso de técnicas de rootkit.

Exfiltración de Datos

La información robada se envía a través de conexiones encriptadas a los servidores C2, lo que asegura que los datos sensibles sean transmitidos de manera segura y sin ser detectados por las herramientas de monitoreo de tráfico de red. Esta exfiltración de datos es crítica para la efectividad del ataque, ya que permite a los atacantes utilizar la información robada para el fraude financiero.

Impacto y consecuencias

El troyano bancario Ousaban, también conocido como Ousaba o Javali, es una amenaza que ha tenido un impacto significativo en el sector financiero y en la seguridad de los usuarios de banca en línea, particularmente en regiones como América Latina y España. Este malware es parte de una familia de troyanos bancarios que emplean tácticas avanzadas para robar información financiera crítica y comprometer las cuentas bancarias de las víctimas. A continuación, se describe de manera técnica el impacto y las consecuencias que Ousaban puede generar en sistemas comprometidos.

Impacto Técnico de Ousaban

  1. Robo de Credenciales Bancarias: El principal objetivo de Ousaban es obtener las credenciales de inicio de sesión de los usuarios en sitios web de bancos y otras plataformas financieras. Utilizando técnicas de web injections y superposición de ventanas (web overlays), Ousaban engaña al usuario para que ingrese sus datos de acceso en formularios falsos que imitan la apariencia de las interfaces bancarias legítimas. Esto tiene un impacto directo sobre las cuentas bancarias comprometidas, ya que los atacantes pueden acceder a ellas y realizar transferencias fraudulentas, vaciar cuentas o realizar compras sin el consentimiento del usuario.
  2. Intercepción de Autenticación de Dos Factores (2FA): Ousaban es capaz de interceptar códigos de autenticación de dos factores (2FA), una capa de seguridad crítica implementada por muchos bancos. Mediante la intercepción de mensajes SMS o el secuestro de aplicaciones móviles utilizadas para 2FA, los atacantes pueden superar este mecanismo de seguridad, permitiéndoles acceder completamente a las cuentas sin restricciones adicionales. Esto compromete gravemente la protección de los usuarios, ya que las credenciales por sí solas ya no son suficientes para proteger las cuentas afectadas.
  3. Monitorización del Sistema y Keylogging: Ousaban tiene la capacidad de registrar las pulsaciones de teclas (keylogging) y realizar capturas de pantalla de las actividades del usuario. Esta funcionalidad le permite capturar no solo credenciales bancarias, sino también otras contraseñas y datos sensibles como correos electrónicos, inicios de sesión en servicios críticos o credenciales empresariales. Esta información puede ser utilizada para perpetrar fraudes a mayor escala o venderse en mercados clandestinos.
  4. Propagación a Través de Campañas de Phishing: El impacto de Ousaban se magnifica debido a su capacidad de propagación a través de campañas de phishing, especialmente mediante correos electrónicos con enlaces o archivos adjuntos maliciosos. Los usuarios que caen en estas campañas infectan sus dispositivos, lo que a su vez puede permitir que el malware se propague a otros equipos dentro de la misma red, afectando a más usuarios y empresas. Esta propagación en red incrementa el impacto potencial de una infección, especialmente en entornos corporativos.

Consecuencias de la Infección con Ousaban

  1. Pérdidas Financieras Directas: Las víctimas de Ousaban enfrentan pérdidas financieras significativas debido al acceso no autorizado a sus cuentas bancarias. Los atacantes pueden realizar transferencias de dinero a cuentas bajo su control o retirar fondos de manera ilegal, lo que genera un impacto financiero directo para los usuarios. Las entidades financieras también pueden verse afectadas, ya que muchas veces se les responsabiliza de la recuperación de los fondos perdidos o de la compensación a los clientes.
  2. Impacto en la Reputación de las Instituciones Financieras: Las instituciones bancarias cuyo acceso es comprometido a través de Ousaban pueden enfrentar daños reputacionales. Si bien el malware infecta el dispositivo del usuario, la percepción pública puede afectar a la confianza en las medidas de seguridad implementadas por los bancos. Esto puede llevar a la pérdida de clientes o a una crisis de confianza en el sistema bancario afectado.
  3. Venta de Datos en el Mercado Negro: Ousaban no solo se utiliza para acceder a cuentas bancarias de inmediato, sino que también roba grandes cantidades de información personal, que luego se vende en mercados clandestinos. Estos datos incluyen nombres, direcciones, números de identificación personal, y credenciales de servicios en línea, lo que puede llevar a un uso indebido posterior, como el robo de identidad o fraudes adicionales.
  4. Compromiso de Redes Empresariales: En entornos corporativos, la infección por Ousaban puede tener consecuencias más allá del robo de credenciales bancarias individuales. Si el malware se propaga dentro de una red empresarial, podría comprometer sistemas críticos, lo que podría llevar a interrupciones operativas, robo de propiedad intelectual o la exposición de datos confidenciales de la empresa. Además, la responsabilidad legal de la protección de estos datos puede recaer sobre la organización, exponiéndola a sanciones regulatorias y demandas.
  5. Costos de Remediación: La eliminación de Ousaban de los sistemas comprometidos puede ser costosa y complicada. Las organizaciones y usuarios afectados necesitan invertir en servicios de ciberseguridad para la limpieza de los sistemas, la restauración de backups y la implementación de medidas de protección adicionales. Esto también puede incluir la reeducación de los usuarios sobre los peligros de las campañas de phishing y la importancia de la seguridad en línea.

Origen y motivación

Ousaban es un troyano bancario de origen latinoamericano, diseñado principalmente para atacar usuarios de banca en línea en Brasil y otros países de la región. Su motivación principal es el robo de credenciales bancarias y datos personales para llevar a cabo fraudes financieros. Este malware suele distribuirse a través de campañas de phishing y descargas maliciosas, utilizando ingeniería social para engañar a las víctimas y obtener acceso a sus cuentas bancarias. Los atacantes detrás de Ousaban están motivados por el beneficio económico directo a través de la explotación de cuentas comprometidas.