Un troyano bancario brasileño está atacando a los clientes de Santander y BBVA con engaños de PDF falsos.
TL;DRFortinet encontró que Ousaban está atacando a usuarios de bancos españoles y portugueses con PDFs geofencing que ocultan malware dentro de imágenes y rotan servidores diariamente.
Un troyano bancario brasileño llamado Ousaban está atacando a usuarios de Windows que realizan operaciones bancarias en España y Portugal, utilizando PDFs falsos, geofencing y una carga útil oculta dentro de una imagen para robar credenciales sin activar herramientas de seguridad. Los laboratorios FortiGuard de Fortinet identificaron la campaña en mayo y publicaron su análisis esta semana.
El ataque comienza con un PDF de phishing disfrazado como un archivo corrupto. El documento le dice a la víctima que presione un botón de “Atualizar” (Actualizar), que abre una página web maliciosa que se hace pasar por un portal de documentos fiscales. Un JavaScript oculto dentro del PDF puede abrir la misma página automáticamente, por lo que la víctima ni siquiera necesita hacer clic.
Antes de entregar la carga útil, la campaña examina a cada visitante. Una versión anterior verificaba el navegador en busca de dirección IP, idioma, zona horaria, tamaño de pantalla y fuentes instaladas, bloqueando a cualquiera que usara una VPN o un sandbox automatizado. La versión actual realiza esas verificaciones del lado del servidor, por lo que las reglas de filtrado exactas están ocultas, pero los visitantes fuera de España y Portugal aún ven solo un aviso de “acceso denegado” en español.
Cualquiera que pase el filtro descarga una imagen que parece un ícono de PDF pero contiene un archivo ZIP, una técnica llamada esteganografía. Un script descomprime el malware del ZIP, lo ejecuta y luego elimina la imagen, el ZIP y a sí mismo. Una vez instalado, Ousaban agrega una entrada en el registro de Windows llamada “Financeiro” para que se inicie automáticamente.
El troyano permanece en silencio hasta que el usuario abre un sitio bancario, luego captura capturas de pantalla y pulsaciones de teclas, manipula el portapapeles, muestra mensajes falsos y le da al atacante control remoto. Fortinet dice que Ousaban vigila más de dos docenas de bancos en España y Portugal, entre ellos Santander, BBVA, CaixaBank, Bankinter y Caixa Geral de Depósitos.
Su servidor de comando es deliberadamente difícil de localizar. El malware lee la fecha actual de una página de Google, la combina con un secreto fijo para construir una dirección web y resuelve un nuevo servidor cada día, haciendo que las listas de bloqueo tradicionales sean casi inútiles. Esconder la infraestructura detrás de servicios web es un viejo hábito de Ousaban: campañas anteriores almacenaban datos de configuración en Google Docs.
Ousaban, también rastreado como Javali, pertenece a un grupo de troyanos bancarios brasileños que Kaspersky etiquetó hace años como la “Tetrade”, junto a Grandoreiro, Guildma y Melcoz. Los cuatro comenzaron en Brasil y se expandieron a la Península Ibérica, compartiendo código en el camino. Grandoreiro, el más conocido del grupo, sobrevivió a una desarticulación coordinada por Interpol en enero de 2024 y volvió en unos meses, y todavía está activo contra objetivos europeos este año.
Fortinet dice que sus productos antivirus marcan las muestras y su servicio FortiMail captura los correos electrónicos de phishing. Para todos los demás, la primera línea de defensa es el señuelo mismo: cualquier PDF o correo electrónico que afirme que un archivo está corrupto y te diga que presiones “Actualizar” debe ser tratado como hostil. Lo mismo se aplica a los mensajes que piden a los usuarios que peguen un comando para corregir un error, una técnica conocida como ClickFix que Fortinet vincula a la actividad relacionada de Ousaban desde finales de 2025.
Otros artículos
Un troyano bancario brasileño está atacando a los clientes de Santander y BBVA con engaños de PDF falsos.
Fortinet dice que el troyano Ousaban utiliza PDFs de phishing geofocalizados y esteganografía para robar credenciales bancarias de usuarios en España y Portugal.
