A Fortinet descobriu que um conhecido Cavalo de Troia que atacava usuários no Brasil, agora é utilizado para fazer vítimas na Espanha e em Portugal. O relatório técnico foi publicado por pesquisadores do FortiGuard Labs na última quarta-feira (1º), indicando a utilização de técnicas de phishing e localização geográfica da vítima.
Ativo na Europa desde maio de 2026, o vírus utiliza uma combinação altamente otimizada de PDFs falsos, engenharia social e checagens geográficas no servidor. A conexão estabelecida faz com que esse trojan seja ativado somente em usuários que estão localizados fisicamente na Espanha ou Portugal.
smart_display
Nossos vídeos em destaque
Tudo começa quando a vítima recebe um email com um PDF aparentemente legítimo, mas ao tentar abrí-lo, uma mensagem escrita “Não é possível abrir este arquivo”, seguida por um botão de “Atualizar”. A vítima pensa que seu aplicativo leitor de PDF está ruim e clica no botão de atualização. A partir de então ele é redirecionado para um site malicioso.
O diferencial do golpe é que ele se mostra ao usuário como um portal de impostos do governo. Mas antes de distribuir o malware, o servidor analisa se a vítima está realmente nos países citados. Caso esteja, o site começa o download de uma imagem com ícone de PDF. Aparentemente legítima, essa imagem oculta o vírus, que é executado no PC.
A periculosidade do Ousaban reside no fato que ele é especialista em perdas financeiras. Ele possui uma lista de dezenas de instituições, como Santander, BBVA, Caixa Geral de Depósitos e Revolut. Por meio de suas capacidades em segundo plano, o trojan pode efetuar transações ilícitas.
A engenharia do Ousaban
O Ousaban pertence à mesma família de malwares do temido Casbaneiro, um tipo de Cavalo de Troia focado estritamente em infectar computadores para esvaziar contas bancárias. Esse vírus opera em uma linguagem de programação e com criptografia mais antiga, de 2008. Apesar disso, os cibercriminosos modernizaram o arquivo.
Esse Ousaban usa uma técnica chamada de triagem geográfica (geofencing), ou seja o servidor checa o endereço de IP, o fuso horário e o idioma do computador da vítima. Isso faz parte da metodologia de entrar o vírus somente para portugueses e espanhóis nos países de origem.
A grande chave do malware está naquele download final da imagem com logo de PDF. Esse é um truque chamado de Esteganografia e consiste em esconder uma mensagem ou arquivo dentro de outro. Para os antivírus comuns, parece apenas o download de uma foto, o que permite que o arquivo passe direto pelas defesas.
)
Uma vez dentro da máquina, o Ousaban faz coisas interessantes no PC. Ele consegue registrar as teclas digitadas e captar credenciais, como senhas. Há o monitoramento do que a vítima copia e cola, e caso ele detecte uma chave de transferência bancária, ele pode alterá-la para o dinheiro cair em uma conta ilegais.
O vírus consegue sobrepor a janela real do banco com uma tela falsa idêntica, induzindo o usuário a digitar códigos de autenticação (tokens). Em paralelo, os criminosos assumem o controle do mouse e teclado em segundo plano para efetuar transações ilícitas.
Como se proteger?
A Fortinet recomenda que as pessoas sempre desconfiem de emails com anexos para download. Bancos, instituições financeiras e agências governamentais não enviam documentos do dia para a noite e sem uma solicitação. Pense duas vezes antes de realizar o download desses arquivos.
Documentos que dizem estar corrompidos ou necessitam de atualização geralmente são falsos. Nunca acesse portais de finanças ou de impostos clicando em links vindos de anexos de e-mails. Digite sempre o endereço oficial diretamente no seu navegador.
Por falar em problemas de segurança, uma falha crítica em um sistema corporativo da Oracle expôs mais de 900 empresas que usam essa tecnologia. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
