Новодокументирана кампания тихомълком превзема онлайн банкови сесии в Испания и Португалия, като всичко започва с нещо толкова обикновено като повреден PDF файл.
Зловредният софтуер зад нея, известен като Ousaban, се появи отново с нов набор от трикове, насочени директно към клиенти на иберийски банки, работещи с Windows машини.
Инфекцията започва, когато жертвата отвори фишинг PDF, който твърди, че е повреден. Той подканва читателя да кликне върху бутон „Atualizar“ (Обновяване), което незабележимо отваря зловредна уеб страница, маскирана като държавен данъчен портал. Оттам страницата проверява дали посетителят наистина се намира в Испания или Португалия, преди да продължи атаката.
Изследователи от FortiGuard Labs на Fortinet първи забелязаха тази вълна от активност на Ousaban през май 2026 г. и публикуваха подробен анализ на начина ѝ на работа. Според Fortinet кампанията разчита на geofencing (географско ограничаване), скрити полезни товари и постоянно променяща се инфраструктура, за да бъде крачка пред инструментите за сигурност.
След като целта премине проверката за местоположение, страницата предоставя скрипт, който изтегля файл с изображение, направено да изглежда като безобидна икона на PDF. В това изображение е скрит ZIP архив, съдържащ действителния полезен товар на Ousaban – техника, наречена стеганография. След това зловредният софтуер изтрива следите от собствената си инсталация, за да затрудни откриването му.
Ousaban не е нов; той принадлежи към добре познато семейство бразилски банкови троянци, понякога групирани с Grandoreiro, Guildma и Melcoz под общото име „Tetrade“. Променена е опаковката около него, създадена специално за достигане до реални жертви в двете страни, като същевременно остава невидима за изследователи и автоматични скенери другаде.
Атаката се основава на следните стълбове:
- Фалшив PDF и VBS даунлоудър: Веригата на атака разчита на съвместната работа на тези два компонента. Скрит JavaScript в PDF файла може да отвори зловредната страница автоматично.
- Проверки на сървърната страна: Страницата проверява IP адрес, език на браузъра и часова зона, и блокира връзки през VPN. Операторите са преместили тези правила на своя сървър, за да останат скрити от аналитиците.
- Кражба на идентификационни данни: Веднъж инсталиран, Ousaban остава неактивен, докато жертвата не отвори някой от над 20 целеви банкови сайта (включително Santander, BBVA, CaixaBank, Bankinter и Caixa Geral de Depósitos). Тогава той може да прави екранни снимки, да записва натисканията на клавиши (keylogging) и да показва фалшиви банкови екрани.
- Динамична C2 инфраструктура: Реалният адрес на управляващия сървър се променя всеки ден, генериран от хеш на текущата дата, взета от страница за грешка на Google.