2026년 5월, 스페인의 한 사용자 인박스에 포르투갈어 안내문이 담긴 PDF 파일 하나가 도착했다. 파일을 열자 빈 화면에 'Atualizar(업데이트)' 버튼만 떠 있었다. 손상된 파일이 아닐까 생각하며 버튼을 누른 순간, Ousaban 뱅킹 트로이목마의 4단계 배포 체인이 시작됐다.
Fortinet FortiGuard Labs는 2026년 7월 1일 이 캠페인 분석 보고서를 공개했다. Ousaban은 Javali라는 이름으로도 불리는 Delphi 기반 뱅킹 트로이목마로, MITRE ATT&CK 소프트웨어 목록에 S0528로 등재돼 있다. 2017~2018년 브라질에서 처음 확인된 이후, 포르투갈어·스페인어권 국가로 공격 반경을 넓혀 왔다.
배경: Tetrade 패밀리와 유럽 확장
보안업체 Kaspersky는 Ousaban을 "Tetrade"로 명명한 브라질 뱅킹 트로이목마 4인방(Grandoreiro, Guildma, Melcoz, Ousaban) 중 하나로 분류한다. 서로 다른 팀이 개발했지만 포르투갈어·스페인어권 타깃, Delphi 코드베이스, 윈도 플랫폼이라는 공통점을 공유한다. Ousaban은 Casbaneiro와 동일한 2008년산 커스텀 XOR 암호화 알고리즘을 사용하는 것으로도 알려졌다.
Tetrade 패밀리의 유럽 확장 전례 중 가장 잘 알려진 것은 Grandoreiro다. 유럽 은행권을 집중 공격하다 2024년 초 인터폴·유로폴 합동 작전으로 핵심 운영자 여러 명이 체포됐지만, 복수의 파생 그룹이 활동을 재개했다. 이번 Ousaban 캠페인은 같은 에코시스템에서 유사한 확장 전략이 반복되고 있음을 보여 준다.
2026년 캠페인의 주요 표적 금융기관에는 Banco Santander, BBVA, CaixaBank, Bankinter, Revolut, Caixa Geral de Depósitos가 포함된다.
공격 전개: 4단계 배포 체인
이번 캠페인이 주목받는 이유는 지오펜싱과 스테가노그래피를 결합한 다층 배포 구조다. 각 단계는 이전 단계를 통과한 피해자에게만 다음 페이로드를 노출하도록 설계돼 있다.
PDF 미끼: 피해자에게 배포된 피싱 PDF는 겉보기에 손상된 파일처럼 보이도록 설계됐다. 내부에는 Hex-escaped JavaScript가 삽입돼 있고, 'Atualizar(업데이트)' 버튼을 누르면 공격자가 통제하는 악성 웹페이지로 연결된다. PDF 아이콘 모양도 위장 용도로 재활용된다.
지오펜싱: 악성 웹페이지는 정부 세금 포털처럼 보인다. 서버는 방문자의 IP 기반 지리 위치, 브라우저 언어, 시간대를 확인한다. 조직 정보에 'vpn'이 포함된 IP는 즉시 차단하고, 화면 해상도와 폰트 열거로 샌드박스·자동 크롤러 환경도 걸러낸다. 이 조건을 통과하지 못하면 "Access denied. Service not available from your country" 오류 PDF만 반환한다. 지오펜싱은 배포 체인 전체를 원격으로 잠그는 첫 번째 방어선이어서, 보안 분석가가 동일 경로를 샌드박스에서 재현하기 어렵게 만든다.
스테가노그래피: 지오펜싱을 통과한 방문자에게는 VBS 스크립트가 배포된다. VBS는 PDF 아이콘 모양으로 위장한 이미지 파일을 드롭한다. 이 이미지 안에 ZIP 아카이브가 은닉돼 있고, VBS가 이미지에서 ZIP을 추출하면 페이로드가 C:\SysMain_5874288 경로에 설치된다. 이미지 파일 자체는 안티바이러스가 악성 특징을 찾을 수 없는 정상 파일로 보이기 때문에 시그니처 탐지가 작동하지 않는다. 지오펜싱이 네트워크 단계의 필터라면, 스테가노그래피는 호스트 단계의 필터다.
지속성과 자격증명 탈취: 페이로드는 레지스트리 CurrentVersion\Run 키의 "Financeiro" 항목으로 등록돼 시스템 재시작 후에도 자동 실행된다. 공격자는 재접속 시 중복 감염을 피하기 위해 최초 실행 시각을 maisum.dat에 기록한다. 사용자가 뱅킹 웹사이트를 열면 C2 서버가 #Iniciar# 명령을 전송하고, 그 순간 스크린샷 캡처·키로깅·클립보드 인젝션·가짜 뱅킹 화면 오버레이가 일제히 활성화된다. 피해자는 자신이 정상 뱅킹 화면을 보고 있다고 믿는 사이 계좌번호가 공격자 계좌로 교체된다.
매일 바뀌는 C2
Ousaban은 C2 인프라 추적을 어렵게 하기 위해 이중 혼선 전략을 쓴다.
실제 C2는 DGA로 은닉한다. 하드코딩된 시드 문자열에 그날 날짜를 더해 MD5 해시를 계산하고 앞 8자리를 "aki" 접두사 뒤에 붙여 서브도메인을 생성한다. 날짜 파싱은 Google Automated Queries 페이지에서 이뤄진다. 서브도메인이 매일 바뀌기 때문에 단일 도메인 차단으로는 C2 연결을 끊을 수 없다.
분석가 유인은 Pastebin으로 한다. Pastebin에 올라온 링크는 사설 IP로 향하는 데드엔드여서 실제 C2 인프라와 무관하다. 분석가가 Pastebin 링크를 추적하는 동안 실제 DGA 생성 도메인은 교란 없이 운용된다. 이전 변종은 Google Docs와 YouTube를 C2 설정 전달 채널로 활용했다.
피해와 결과
Fortinet은 감염 규모를 수치화하지 않았지만, 캠페인이 이베리아 반도 전역 주요 금융기관의 개인·법인 고객을 아우른다고 밝혔다. 실제 피해 건수는 공개되지 않았다.
Ousaban이 설치되면 뱅킹 자격증명 탈취에 그치지 않는다. 계좌이체 자동화(ATO), 실시간 화면 제어, 가짜 인증 화면 생성이 모두 가능해 피해자가 공격 사실을 인지하기 어렵다. 단일 감염으로 장기간 금융 계좌를 통제할 수 있는 구조다.
왜 이 사건이 중요한가
이 사건의 시작으로 돌아가면, 버튼 하나를 누른 피해자는 어떤 단계에서도 악성 행위를 인지할 수 없었다. PDF는 손상된 파일처럼 보였고, 이미지는 정상 파일이었으며, 뱅킹 화면은 진짜처럼 보였다. 이것이 이번 캠페인이 주목받는 이유다.
Ousaban의 2026년 캠페인은 두 가지를 보여 준다. 첫째, 브라질 뱅킹 트로이목마 에코시스템의 유럽 확장 흐름이 Grandoreiro에 이어 Ousaban으로 계속되고 있다. 둘째, 지오펜싱과 스테가노그래피의 결합이 표준 샌드박스·시그니처 방어선을 얼마나 효과적으로 우회하는지를 실증한다. 샌드박스에서 재현해도 지오펜싱이 배포 체인을 차단하고, AV가 이미지를 그냥 통과시키면 스테가노그래피 페이로드는 드러나지 않는다.
이미지 내 페이로드 은닉과 지오펜싱 기반 배포는 특정 언어권에 종속된 기법이 아니다. 피해자를 걸러내고 분석 환경을 배제하는 이 두 기법의 조합은 어떤 언어권, 어떤 금융 인프라를 겨냥해도 동일하게 작동한다. 국내 금융권 역시 이 배포 구조가 적용될 수 있는 환경이며, 이번 캠페인의 단계별 체인은 배포 초입(PDF·이미지 파일 수신 시점)부터 탐지 기준을 설정할 때 참고할 만한 사례다.