Бразильский банковский троян нацеливается на клиентов Santander и BBVA с помощью поддельных PDF-уловок.
TL;DRFortinet обнаружила, что Ousaban нацеливается на пользователей банков в Испании и Португалии с помощью геозонированных PDF-файлов, которые скрывают вредоносное ПО внутри изображений и ежедневно меняют серверы.
Бразильский банковский троян под названием Ousaban атакует пользователей Windows, которые ведут банковские операции в Испании и Португалии, используя поддельные PDF-файлы, геозонирование и скрытый в изображении вредоносный код для кражи учетных данных, не активируя средства безопасности. Лаборатория FortiGuard компании Fortinet выявила эту кампанию в мае и опубликовала свой анализ на этой неделе.
Атака начинается с фишингового PDF-файла, замаскированного под поврежденный файл. Документ предлагает жертве нажать кнопку «Atualizar» (Обновить), которая открывает вредоносную веб-страницу, выдающую себя за портал налоговых документов. Скрытый JavaScript внутри PDF может автоматически открыть ту же страницу, так что жертве даже не нужно нажимать.
Перед доставкой вредоносного кода кампания проверяет каждого посетителя. Ранее версия проверяла браузер на наличие IP-адреса, языка, часового пояса, размера экрана и установленных шрифтов, блокируя всех, кто использует VPN или автоматизированную песочницу. Текущая версия выполняет эти проверки на стороне сервера, поэтому точные правила фильтрации скрыты, но посетители за пределами Испании и Португалии все равно видят только испанское уведомление «доступ запрещен».
Все, кто проходит фильтр, загружает изображение, которое выглядит как значок PDF, но содержит ZIP-файл, техника, называемая стеганографией. Скрипт распаковывает вредоносное ПО из ZIP, запускает его, а затем удаляет изображение, ZIP и себя. После установки Ousaban добавляет запись в реестр Windows с именем «Financeiro», чтобы запускаться автоматически.
Троян тихо ждет, пока пользователь откроет банковский сайт, затем захватывает скриншоты и нажатия клавиш, вмешивается в буфер обмена, показывает поддельные сообщения и предоставляет злоумышленнику удаленный доступ. Fortinet сообщает, что Ousaban следит за более чем двумя десятками банков в Испании и Португалии, среди которых Santander, BBVA, CaixaBank, Bankinter и Caixa Geral de Depositos.
Его командный сервер намеренно трудно отследить. Вредоносное ПО считывает текущую дату с страницы Google, комбинирует ее с фиксированным секретом для создания веб-адреса и каждый день разрешает новый сервер, что делает традиционные черные списки практически бесполезными. Скрытие инфраструктуры за веб-сервисами — старая привычка Ousaban: в предыдущих кампаниях конфигурационные данные хранились в Google Docs.
Ousaban, также отслеживаемый как Javali, принадлежит группе бразильских банковских троянов, которую Kaspersky назвала много лет назад «Tetrade», наряду с Grandoreiro, Guildma и Melcoz. Все четверо начали в Бразилии и расширились на Иберийский полуостров, делясь кодом по пути. Grandoreiro, наиболее известный из группы, пережил координированное задержание Интерпола в январе 2024 года и вернулся через несколько месяцев, и он все еще активен против европейских целей в этом году.
Fortinet сообщает, что его антивирусные продукты помечают образцы, а служба FortiMail перехватывает фишинговые электронные письма. Для всех остальных первой линией защиты является само приманка: любой PDF или электронное письмо, утверждающее, что файл поврежден, и предлагающее нажать «Обновить», следует рассматривать как враждебное. То же самое касается подсказок, предлагающих пользователям вставить команду для исправления ошибки, техника, известная как ClickFix, которую Fortinet связывает с соответствующей активностью Ousaban с конца 2025 года.
Другие статьи
Бразильский банковский троян нацеливается на клиентов Santander и BBVA с помощью поддельных PDF-уловок.
Fortinet сообщает, что троян Ousaban использует геозонированные фишинговые PDF-документы и стеганографию для кражи банковских учетных данных у пользователей в Испании и Португалии.
