Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Банкарскиот тројанец Ousaban ги таргетира корисниците на банки во Шпанија и Португалија со лажни PDF документи

Бразилскиот банкарски тројанец Ousaban е насочен кон корисници на Windows кои користат онлајн банкарство во Шпанија и Португалија. Кампањата била откриена во мај 2026 година од истражувачите на Fortinet FortiGuard Labs.

Нападот започнува со phishing PDF документ што се претставува како оштетена (corrupted) датотека. Документот прво проверува дали жртвата навистина се наоѓа во Шпанија или Португалија, а потоа го крие вистинскиот малициозен товар (payload) во слика.

Целта е добро позната – кражба на банкарски акредитиви и преземање контрола врз банкарските сметки на жртвите.

Откако ќе се инсталира, Ousaban останува незабележливо активен на Windows компјутерот и чека корисникот да отвори веб-страница на банка.

Кога ќе се отвори една од таргетираните банки, тројанецот може да:

  • снима слики од екранот (screenshots);
  • снима притиснати копчиња (keylogging);
  • менува содржина во clipboard-от;
  • прикажува лажни пораки;
  • му овозможи на напаѓачот целосна далечинска контрола врз компјутерот.

Комбинацијата од овие функции им овозможува на напаѓачите да ја преземат активната банкарска сесија и да добијат целосна контрола врз сметката на жртвата.

Ousaban следи активности поврзани со повеќе од дваесет банки во Шпанија и Португалија, меѓу кои:

  • Banco Santander
  • BBVA
  • CaixaBank
  • Bankinter
  • Caixa Geral de Depósitos

Како функционира нападот

Нападот започнува со phishing PDF документ што изгледа како оштетена датотека.

Во документот се прикажува порака со која корисникот се повикува да притисне копче „Atualizar“ („Ажурирај“), по што се отвора малициозна веб-страница.

Во PDF документот е вграден и JavaScript, кој може автоматски да ја отвори истата страница без дополнителна интеракција од корисникот.

Веб-страницата се претставува како портал за даночни документи и преземање софтвер, но истовремено врши детална проверка на посетителот.

Според Fortinet, претходните верзии на кампањата ги извршувале следните проверки директно во прелистувачот:

  • ја проверувале IP адресата на посетителот;
  • го анализирале јазикот на системот;
  • ја проверувале временската зона;
  • блокирале корисници што користат VPN;
  • препознавале автоматизирани безбедносни алатки преку параметри како големината на екранот и инсталираните фонтови.

Во поновата верзија овие проверки се префрлени на серверот на напаѓачот, па точните критериуми повеќе не се видливи за истражувачите.

Во двата случаи, корисниците кои не се наоѓаат во Шпанија или Португалија добиваат порака на шпански јазик дека пристапот е одбиен, наместо да го добијат малициозниот софтвер.

Криење на малициозниот код во слика

Доколку проверките бидат успешно поминати, започнува преземањето на малициозниот софтвер.

Скриптата презема слика што изгледа како PDF икона, но во неа е сокриена ZIP архива со помош на техника позната како стеганографија (steganography).

Потоа скриптата:

  1. ја извлекува ZIP архивата од сликата;
  2. го стартува тројанецот Ousaban;
  3. ги брише сликата, ZIP архивата и самата скрипта за да остави што помалку траги.

Откако ќе се активира, Ousaban додава запис во Windows Registry со името Financeiro (португалски збор за „финансии“), со што автоматски се стартува при секое подигнување на Windows.

Прикривање на командниот сервер

Командно-контролниот (C2) сервер што управува со тројанецот е намерно прикриен.

Во малициозниот код постои линк до Pastebin, кој содржи адреса на серверот. Сепак, според Fortinet, таа адреса претставува лажна трага (decoy) и не е вистинскиот сервер што го контролира Ousaban.

Оваа техника им отежнува на безбедносните истражувачи да ја откријат и блокираат вистинската инфраструктура што ја користат напаѓачите.

Криење на инфраструктурата преку легитимни веб-сервиси

Криењето на конфигурациските податоци во легитимни веб-услуги не е нова техника за Ousaban. Во претходните кампањи тројанецот ја чувал својата конфигурација во Google Docs.

Во оваа верзија, вистинскиот командно-контролен (C2) сервер се менува секој ден.

Малициозниот софтвер ја чита тековната дата од страница на Google, а потоа, користејќи ја таа дата и однапред дефинирана тајна вредност, генерира нова веб-адреса преку која комуницира со напаѓачот.

Поради тоа, блокирањето на вчерашната адреса практично нема ефект, бидејќи следниот ден тројанецот автоматски користи сосема нова адреса.

Добро позната „бразилска школа“

Овој начин на работа не е нов.

Ousaban, познат и под името Javali, е дел од групата бразилски банкарски тројанци што компанијата Kaspersky пред неколку години ја нарече „Tetrade“. Во оваа група спаѓаат и:

  • Grandoreiro
  • Guildma
  • Melcoz

Овие семејства на малициозен софтвер првично се појавиле во Бразил, а подоцна ги прошириле нападите кон Шпанија и Португалија, при што често повторно користеле и разменувале делови од истиот код.

На пример, механизмот за шифрирање на текстуалните низи (string encryption) што го користи Ousaban е истата сопствена техника што ја користи и банкарскиот тројанец Casbaneiro.

Grandoreiro како пример

Најпознатиот член на оваа група е Grandoreiro, кој покажува колку овие кампањи се отпорни.

Иако во јануари 2024 година беше предмет на меѓународна акција координирана од Интерпол, тројанецот повторно се појави само неколку месеци подоцна.

Неговите механизми за испорака (loaders) користеле многу слични техники:

  • лажни PDF документи;
  • географско филтрирање на жртвите;
  • преземање на малициозен код само ако жртвата се наоѓа во таргетираната држава.

Според Fortinet, Grandoreiro и понатаму е активен против цели во Шпанија и Португалија, а и оваа година е забележана кампања насочена кон португалски банки.

Fortinet, исто така, ја поврзува истата инфраструктура со активности на Ousaban од крајот на 2025 година, кога биле користени и други методи за почетен пристап, меѓу кои и техниката ClickFix.

Кај ClickFix измамата, жртвата се убедува сама да внесе малициозна команда во системот, верувајќи дека на тој начин решава техничка грешка.

Како да се заштитите

Најважната точка за откривање на нападот е самиот мамец.

Fortinet препорачува:

  • секој PDF документ или е-пошта што тврди дека датотеката е оштетена и бара да се притисне копче „Update“ да се третира како потенцијално малициозен;
  • истото важи и за пораки што бараат корисникот рачно да внесе команда за да „поправи“ некаква грешка;
  • да се биде особено внимателен со неочекувани прилози што се претставуваат како фактури (invoice, factura) или даночни документи, особено ако се однесуваат на Шпанија или Португалија.

Дополнително, бидејќи проверката на жртвата се врши на серверот на напаѓачот, автоматизираните sandbox системи што само ја посетуваат веб-врската често ќе добијат само шпанска порака за одбиен пристап, наместо вистинскиот малициозен код.

Тоа значи дека самото автоматско скенирање на прилозите или веб-врските не е доволно за откривање на оваа кампања.

Кампањата е насочена исклучиво кон Windows системи.

Индикатори за компромитација

Во својот извештај, Fortinet објави листа на:

  • малициозни домени;
  • IP адреси;
  • hash вредности на датотеки;

кои организациите треба да ги блокираат.

Безбедносните тимови треба да внимаваат и на:

  • Registry Run клучот Financeiro;
  • датотеки што се појавуваат во папката C:\SysMain_5874288.

Fortinet наведува дека:

  • FortiGuard Antivirus успешно ги детектира примероците на Ousaban;
  • FortiMail ги препознава phishing пораки што ја започнуваат оваа кампања.

Стар тројанец со нови техники за испорака

Самиот тројанец Ousaban не е нов.

Според Fortinet, неговиот сопствен механизам за шифрирање со години успешно ги отежнува безбедносните анализи и детекцијата.

Она што е ново е начинот на испорака:

  • географско филтрирање на жртвите (geofencing);
  • криење на малициозниот код во слика преку стеганографија;
  • секојдневно менување на командно-контролниот сервер.

Сите овие техники се осмислени така што малициозниот софтвер ќе биде испорачан само на вистинските жртви во Шпанија и Португалија, додека сите останати корисници и автоматизирани системи за анализа ќе гледаат безопасна содржина или порака за одбиен пристап.

Извори:

  • The Hacker News – Ousaban Banking Trojan Targets Iberian Bank Users with Fake PDF Lures The Hacker News