Un trojan bancario brasiliano sta prendendo di mira i clienti di Santander e BBVA con falsi PDF ingannevoli.
TL;DRFortinet ha scoperto Ousaban che prende di mira gli utenti bancari spagnoli e portoghesi con PDF geofenzionati che nascondono malware all'interno di immagini e ruotano i server quotidianamente. Un trojan bancario brasiliano chiamato Ousaban sta attaccando gli utenti Windows che effettuano operazioni bancarie in Spagna e Portogallo, utilizzando PDF falsi, geofencing e un payload nascosto all'interno di un'immagine per rubare credenziali senza attivare strumenti di sicurezza. I laboratori FortiGuard di Fortinet hanno identificato la campagna a maggio e hanno pubblicato la loro analisi questa settimana. L'attacco inizia con un PDF di phishing travestito da file corrotto. Il documento dice alla vittima di premere un pulsante “Atualizar” (Aggiorna), che apre una pagina web malevola che si finge un portale di documenti fiscali. Un JavaScript nascosto all'interno del PDF può aprire automaticamente la stessa pagina, quindi la vittima non ha nemmeno bisogno di cliccare. Prima di consegnare il payload, la campagna controlla ogni visitatore. Una versione precedente controllava il browser per indirizzo IP, lingua, fuso orario, dimensione dello schermo e font installati, bloccando chiunque utilizzasse una VPN o un sandbox automatizzato. La versione attuale esegue questi controlli sul lato server, quindi le esatte regole di filtraggio sono nascoste, ma i visitatori al di fuori di Spagna e Portogallo vedono comunque solo un avviso di “accesso negato” in spagnolo. Chi supera il filtro scarica un'immagine che sembra un'icona PDF ma contiene un file ZIP, una tecnica chiamata steganografia. Uno script estrae il malware dallo ZIP, lo esegue, quindi elimina l'immagine, lo ZIP e se stesso. Una volta installato, Ousaban aggiunge una voce di registro di Windows chiamata “Financeiro” in modo che si avvii automaticamente. Il trojan rimane silenzioso fino a quando l'utente apre un sito bancario, quindi cattura screenshot e tasti premuti, manomette il clipboard, mostra messaggi falsi e dà il controllo remoto all'attaccante. Fortinet afferma che Ousaban tiene d'occhio più di due dozzine di banche in Spagna e Portogallo, tra cui Santander, BBVA, CaixaBank, Bankinter e Caixa Geral de Depositos. Il suo server di comando è deliberatamente difficile da localizzare. Il malware legge la data corrente da una pagina Google, la combina con un segreto fisso per costruire un indirizzo web e risolve un nuovo server ogni giorno, rendendo quasi inutili le tradizionali liste di blocco. Nascondere l'infrastruttura dietro i servizi web è un vecchio vizio di Ousaban: campagne precedenti nascondevano dati di configurazione in Google Docs. Ousaban, tracciato anche come Javali, appartiene a un gruppo di trojan bancari brasiliani che Kaspersky ha etichettato anni fa come “Tetrade”, insieme a Grandoreiro, Guildma e Melcoz. Tutti e quattro sono iniziati in Brasile ed si sono espansi nella penisola iberica, condividendo codice lungo il cammino. Grandoreiro, il più noto del gruppo, è sopravvissuto a un'operazione di smantellamento coordinata da Interpol a gennaio 2024 ed è tornato attivo entro pochi mesi, ed è ancora attivo contro obiettivi europei quest'anno. Fortinet afferma che i suoi prodotti antivirus segnalano i campioni e il suo servizio FortiMail cattura le email di phishing. Per tutti gli altri, la prima linea di difesa è l'esca stessa: qualsiasi PDF o email che afferma che un file è corrotto e ti dice di premere “Aggiorna” dovrebbe essere trattato come ostile. Lo stesso vale per i messaggi che chiedono agli utenti di incollare un comando per correggere un errore, una tecnica nota come ClickFix che Fortinet collega all'attività correlata di Ousaban dalla fine del 2025.
Altri articoli
Un trojan bancario brasiliano sta prendendo di mira i clienti di Santander e BBVA con falsi PDF ingannevoli.
Fortinet afferma che il trojan Ousaban utilizza PDF di phishing geofenzionati e steganografia per rubare le credenziali bancarie dagli utenti in Spagna e Portogallo.
