Бразильский банковский троян нацеливается на клиентов Santander и BBVA с помощью поддельных PDF-уловок.

Бразильский банковский троян нацеливается на клиентов Santander и BBVA с помощью поддельных PDF-уловок.

      TL;DRFortinet обнаружила, что Ousaban нацеливается на пользователей банков в Испании и Португалии с помощью геозонированных PDF-файлов, которые скрывают вредоносное ПО внутри изображений и ежедневно меняют серверы.

      Бразильский банковский троян под названием Ousaban атакует пользователей Windows, которые ведут банковские операции в Испании и Португалии, используя поддельные PDF-файлы, геозонирование и скрытый в изображении вредоносный код для кражи учетных данных, не активируя средства безопасности. Лаборатория FortiGuard компании Fortinet выявила эту кампанию в мае и опубликовала свой анализ на этой неделе.

      Атака начинается с фишингового PDF-файла, замаскированного под поврежденный файл. Документ предлагает жертве нажать кнопку «Atualizar» (Обновить), которая открывает вредоносную веб-страницу, выдающую себя за портал налоговых документов. Скрытый JavaScript внутри PDF может автоматически открыть ту же страницу, так что жертве даже не нужно нажимать.

      Перед доставкой вредоносного кода кампания проверяет каждого посетителя. Ранее версия проверяла браузер на наличие IP-адреса, языка, часового пояса, размера экрана и установленных шрифтов, блокируя всех, кто использует VPN или автоматизированную песочницу. Текущая версия выполняет эти проверки на стороне сервера, поэтому точные правила фильтрации скрыты, но посетители за пределами Испании и Португалии все равно видят только испанское уведомление «доступ запрещен».

      Все, кто проходит фильтр, загружает изображение, которое выглядит как значок PDF, но содержит ZIP-файл, техника, называемая стеганографией. Скрипт распаковывает вредоносное ПО из ZIP, запускает его, а затем удаляет изображение, ZIP и себя. После установки Ousaban добавляет запись в реестр Windows с именем «Financeiro», чтобы запускаться автоматически.

      Троян тихо ждет, пока пользователь откроет банковский сайт, затем захватывает скриншоты и нажатия клавиш, вмешивается в буфер обмена, показывает поддельные сообщения и предоставляет злоумышленнику удаленный доступ. Fortinet сообщает, что Ousaban следит за более чем двумя десятками банков в Испании и Португалии, среди которых Santander, BBVA, CaixaBank, Bankinter и Caixa Geral de Depositos.

      Его командный сервер намеренно трудно отследить. Вредоносное ПО считывает текущую дату с страницы Google, комбинирует ее с фиксированным секретом для создания веб-адреса и каждый день разрешает новый сервер, что делает традиционные черные списки практически бесполезными. Скрытие инфраструктуры за веб-сервисами — старая привычка Ousaban: в предыдущих кампаниях конфигурационные данные хранились в Google Docs.

      Ousaban, также отслеживаемый как Javali, принадлежит группе бразильских банковских троянов, которую Kaspersky назвала много лет назад «Tetrade», наряду с Grandoreiro, Guildma и Melcoz. Все четверо начали в Бразилии и расширились на Иберийский полуостров, делясь кодом по пути. Grandoreiro, наиболее известный из группы, пережил координированное задержание Интерпола в январе 2024 года и вернулся через несколько месяцев, и он все еще активен против европейских целей в этом году.

      Fortinet сообщает, что его антивирусные продукты помечают образцы, а служба FortiMail перехватывает фишинговые электронные письма. Для всех остальных первой линией защиты является само приманка: любой PDF или электронное письмо, утверждающее, что файл поврежден, и предлагающее нажать «Обновить», следует рассматривать как враждебное. То же самое касается подсказок, предлагающих пользователям вставить команду для исправления ошибки, техника, известная как ClickFix, которую Fortinet связывает с соответствующей активностью Ousaban с конца 2025 года.

Другие статьи

Наушники Sony WH-1000XM6 стали еще более привлекательными для геймеров, которые ненавидят игровые гарнитуры. Наушники Sony WH-1000XM6 стали еще более привлекательными для геймеров, которые ненавидят игровые гарнитуры. Обновление Sony WH-1000XM6 добавляет поддержку Bluetooth GMAP для аудио игр с низкой задержкой, но эта функция работает только в том случае, если подключенный телефон, ПК, планшет или портативное устройство поддерживают тот же стандарт. Hyundai и Kia разработали систему УФ-облучения, которая убивает бактерии внутри автомобиля, пока вы находитесь в нем. Hyundai и Kia разработали систему УФ-облучения, которая убивает бактерии внутри автомобиля, пока вы находитесь в нем. Plasma Care UVC использует дальнее ультрафиолетовое свет для уничтожения бактерий и вирусов внутри салона автомобиля, не представляя опасности для пассажиров, показывают лабораторные испытания. Надежды и страхи ИИ захватывают крупнейшую встречу центральных банков мира Надежды и страхи ИИ захватывают крупнейшую встречу центральных банков мира На форуме ЕЦБ в Синтре центральные банкиры оценили обещание продуктивности ИИ в сравнении с инвестиционным бумом, который разгоняет инфляцию. Обзор EcoFlow DELTA 3 Ultra Plus: Портативность встречает серьезную мощность Обзор EcoFlow DELTA 3 Ultra Plus: Портативность встречает серьезную мощность Быстрый обзор EcoFlow DELTA 3 Ultra Plus — это мощная портативная электростанция, созданная для владельцев домов, которые хотят надежный резервный источник энергии без необходимости установки постоянной батареи для всего дома. С батареей LFP на 3,072 Втч, непрерывным выходом инвертора 3,600 Вт и возможностью расширения до 11 кВтч с помощью дополнительных батарейных блоков, она занимает […] Honda начинает производить батареи для дата-центров на заводе, построенном для электромобилей, который она закрыла. Honda начинает производить батареи для дата-центров на заводе, построенном для электромобилей, который она закрыла. Honda начала производство аккумуляторов для хранения энергии на заводе в Огайо, который изначально был построен для электромобилей, от которых компания отказалась три месяца назад после убытков в 16 миллиардов долларов. Игровой монитор Acer с частотой 1000 Гц существует, он дорогой и ждет даты выхода. Игровой монитор Acer с частотой 1000 Гц существует, он дорогой и ждет даты выхода. Игровой монитор Acer с частотой 1000 Гц выставлен на Amazon по цене 699,99 долларов, но он все еще отсутствует на складе, а его самый быстрый режим требует значительного снижения разрешения с QHD до 720p.

Бразильский банковский троян нацеливается на клиентов Santander и BBVA с помощью поддельных PDF-уловок.

Fortinet сообщает, что троян Ousaban использует геозонированные фишинговые PDF-документы и стеганографию для кражи банковских учетных данных у пользователей в Испании и Португалии.