Ousaban atakuje bankowość w Hiszpanii i Portugalii. Fałszywe PDF-y służą do przejmowania kont - Security Bez Tabu

Ousaban atakuje bankowość w Hiszpanii i Portugalii. Fałszywe PDF-y służą do przejmowania kont

Cybersecurity news

Wprowadzenie do problemu / definicja

Ousaban to trojan bankowy wywodzący się z Brazylii, zaprojektowany do kradzieży poświadczeń oraz przejmowania aktywnych sesji bankowości elektronicznej. Najnowsza kampania jest wymierzona w użytkowników systemu Windows w Hiszpanii i Portugalii i wykorzystuje fałszywe pliki PDF, socjotechnikę oraz mechanizmy selekcji ofiar oparte na lokalizacji i cechach środowiska.

Z perspektywy obrońców jest to przykład dojrzałego malware finansowego, które łączy relatywnie prosty wabik z bardziej zaawansowanym łańcuchem dostarczenia, ukrywaniem ładunku i utrudnianiem analizy.

W skrócie

  • Atak rozpoczyna się od fałszywego pliku PDF informującego o rzekomym uszkodzeniu dokumentu.
  • Ofiara jest nakłaniana do kliknięcia przycisku „Aktualizar”, co prowadzi do złośliwej strony.
  • Kampania stosuje geofencing i analizę środowiska, aby filtrować ofiary i utrudniać pracę analitykom.
  • Payload trojana jest ukrywany w pliku graficznym podszywającym się pod ikonę PDF.
  • Po infekcji Ousaban uzyskuje trwałość, monitoruje aktywność użytkownika i czeka na otwarcie wybranych serwisów bankowych.

Kontekst / historia

Ousaban, znany również jako Javali, należy do szerszego ekosystemu brazylijskich trojanów bankowych, które od lat ewoluują i rozszerzają zasięg poza Amerykę Łacińską. Rodziny z tego segmentu konsekwentnie wykorzystują znajomość lokalnego języka, realiów rynkowych i zachowań użytkowników, aby zwiększać skuteczność kampanii.

Hiszpania i Portugalia od dawna pozostają naturalnym kierunkiem ekspansji dla takich zagrożeń. Bliskość językowa i kulturowa, a także obecność rozwiniętych usług bankowości elektronicznej sprawiają, że operatorzy malware mogą skutecznie personalizować przynęty i scenariusze oszustwa.

Analiza techniczna

Łańcuch infekcji zaczyna się od dokumentu PDF, który udaje uszkodzony plik i sugeruje użytkownikowi wykonanie „aktualizacji”, aby przywrócić jego poprawne działanie. Tego typu komunikat ma wywołać pośpiech i obniżyć czujność odbiorcy. W niektórych wariantach osadzony kod może dodatkowo przekierować ofiarę na stronę atakujących.

Po wejściu na stronę uruchamiany jest etap selekcji. Infrastruktura kampanii sprawdza m.in. geolokalizację, język, strefę czasową oraz wybrane cechy środowiska uruchomieniowego. Jeśli użytkownik nie spełnia kryteriów, nie otrzymuje właściwego ładunku. Taki model działania ogranicza skuteczność klasycznych sandboxów i automatycznych systemów analitycznych.

Po pozytywnej weryfikacji pobierany jest dodatkowy skrypt, który ściąga obraz podszywający się pod ikonę PDF. W rzeczywistości plik zawiera ukryte archiwum ZIP z właściwym malware. Następnie trojan jest rozpakowywany i uruchamiany, a elementy pośrednie są usuwane, aby zmniejszyć liczbę śladów pozostawionych w systemie.

Po instalacji Ousaban uzyskuje trwałość w systemie Windows przez wpis rejestru uruchamiany wraz ze startem systemu, opisywany nazwą „Financeiro”. W analizach wskazywano również artefakty związane z katalogiem C:\SysMain_5874288, który może pełnić rolę istotnego wskaźnika kompromitacji.

Od strony funkcjonalnej malware oferuje zestaw typowy dla nowoczesnego trojana bankowego:

  • keylogging,
  • przechwytywanie zrzutów ekranu,
  • manipulację schowkiem,
  • wyświetlanie fałszywych komunikatów,
  • zdalną kontrolę nad stacją roboczą.

To połączenie umożliwia nie tylko kradzież loginów i haseł, ale również wspieranie przejęcia aktywnej sesji bankowej. Dodatkowym utrudnieniem dla zespołów bezpieczeństwa jest dynamiczna infrastruktura C2, której adresy mogą się regularnie zmieniać.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem infekcji jest przejęcie rachunku bankowego użytkownika detalicznego lub biznesowego. W praktyce zagrożenie wykracza poza samą utratę danych logowania, ponieważ malware może obserwować aktywność ofiary i wspierać działania operatora w czasie rzeczywistym.

Dla instytucji finansowych oznacza to wzrost ryzyka oszustw transakcyjnych, przejęć kont oraz bardziej złożonych incydentów fraudowych. Dla zespołów SOC i IR problematyczna jest także selektywność kampanii: systemy detonacyjne mogą nie zobaczyć prawdziwego payloadu, jeśli nie spełnią warunków geograficznych lub środowiskowych.

Ryzyko operacyjne zwiększa również ukrywanie ładunku w obrazie i rotacja infrastruktury dowodzenia. Takie techniki utrudniają zarówno wykrywanie sygnaturowe, jak i szybkie blokowanie wskaźników sieciowych.

Rekomendacje

Organizacje powinny traktować jako podwyższone ryzyko wszelkie wiadomości zawierające załączniki PDF, które informują o błędzie dokumentu i nakłaniają do wykonania aktualizacji lub kliknięcia przycisku naprawczego. Szczególną ostrożność warto zachować wobec korespondencji związanej z fakturami, podatkami i sprawami finansowymi.

  • ograniczyć wykonywanie aktywnej zawartości powiązanej z dokumentami PDF,
  • monitorować nietypowe wpisy autostartu w rejestrze Windows,
  • śledzić tworzenie podejrzanych katalogów i artefaktów w systemie,
  • korelować zdarzenia obejmujące otwarcie dokumentu, uruchomienie przeglądarki i pobranie nietypowych plików,
  • analizować zachowania wskazujące na keylogging, przechwytywanie ekranu i zdalną interakcję,
  • wzmacniać systemy antyfraudowe o analizę behawioralną sesji użytkownika.

Po stronie użytkowników końcowych kluczowe pozostaje nieklikanie przycisków aktualizacji widocznych w podejrzanych dokumentach, nieuruchamianie plików z nieoczekiwanych wiadomości oraz szybkie zgłaszanie nietypowych komunikatów związanych z bankowością lub dokumentami finansowymi.

Podsumowanie

Kampania Ousaban pokazuje, że trojany bankowe nadal rozwijają się w kierunku większej selektywności, lepszego ukrywania ładunku i skuteczniejszego przejmowania sesji użytkowników. Połączenie prostego wabika w postaci fałszywego PDF-a z geofencingiem, ukrywaniem payloadu i dynamiczną infrastrukturą czyni z tego zagrożenia istotny problem dla użytkowników oraz instytucji finansowych na Półwyspie Iberyjskim.

Dla obrońców kluczowe znaczenie mają wielowarstwowe mechanizmy detekcji, analiza behawioralna oraz szybka reakcja na wskaźniki kompromitacji związane z trwałością, pobieraniem ukrytych ładunków i aktywnością ukierunkowaną na serwisy bankowe.

Źródła

  • The Hacker News — Ousaban Banking Trojan Targets Iberian Bank Users with Fake PDF Lures — https://thehackernews.com/2026/07/ousaban-banking-trojan-targets-iberian.html
  • Fortinet FortiGuard Labs — analiza kampanii Ousaban — https://www.fortinet.com/blog/threat-research
  • Kaspersky Securelist — The Tetrade: Brazilian banking malware families — https://securelist.com/the-tetrade-brazilian-banking-malware/97779/
  • INTERPOL — informacje o działaniach przeciwko cyberprzestępczości finansowej — https://www.interpol.int/