Новодокументирана кампания тихомълком превзема онлайн банкови сесии в Испания и Португалия, като всичко започва с нещо толкова обикновено като повреден PDF файл.

Зловредният софтуер зад нея, известен като Ousaban, се появи отново с нов набор от трикове, насочени директно към клиенти на иберийски банки, работещи с Windows машини.

Инфекцията започва, когато жертвата отвори фишинг PDF, който твърди, че е повреден. Той подканва читателя да кликне върху бутон „Atualizar“ (Обновяване), което незабележимо отваря зловредна уеб страница, маскирана като държавен данъчен портал. Оттам страницата проверява дали посетителят наистина се намира в Испания или Португалия, преди да продължи атаката.

Изследователи от FortiGuard Labs на Fortinet първи забелязаха тази вълна от активност на Ousaban през май 2026 г. и публикуваха подробен анализ на начина ѝ на работа. Според Fortinet кампанията разчита на geofencing (географско ограничаване), скрити полезни товари и постоянно променяща се инфраструктура, за да бъде крачка пред инструментите за сигурност.

След като целта премине проверката за местоположение, страницата предоставя скрипт, който изтегля файл с изображение, направено да изглежда като безобидна икона на PDF. В това изображение е скрит ZIP архив, съдържащ действителния полезен товар на Ousaban – техника, наречена стеганография. След това зловредният софтуер изтрива следите от собствената си инсталация, за да затрудни откриването му.

Ousaban не е нов; той принадлежи към добре познато семейство бразилски банкови троянци, понякога групирани с Grandoreiro, Guildma и Melcoz под общото име „Tetrade“. Променена е опаковката около него, създадена специално за достигане до реални жертви в двете страни, като същевременно остава невидима за изследователи и автоматични скенери другаде.

Атаката се основава на следните стълбове:

  • Фалшив PDF и VBS даунлоудър: Веригата на атака разчита на съвместната работа на тези два компонента. Скрит JavaScript в PDF файла може да отвори зловредната страница автоматично.
  • Проверки на сървърната страна: Страницата проверява IP адрес, език на браузъра и часова зона, и блокира връзки през VPN. Операторите са преместили тези правила на своя сървър, за да останат скрити от аналитиците.
  • Кражба на идентификационни данни: Веднъж инсталиран, Ousaban остава неактивен, докато жертвата не отвори някой от над 20 целеви банкови сайта (включително Santander, BBVA, CaixaBank, Bankinter и Caixa Geral de Depósitos). Тогава той може да прави екранни снимки, да записва натисканията на клавиши (keylogging) и да показва фалшиви банкови екрани.
  • Динамична C2 инфраструктура: Реалният адрес на управляващия сървър се променя всеки ден, генериран от хеш на текущата дата, взета от страница за грешка на Google.