De Braziliaanse banking trojan Ousaban is actief gericht op Windows-gebruikers die bankieren in Spanje en Portugal. Deze campagne werd in mei 2026 ontdekt door Fortinet's FortiGuard Labs. De aanval begint met een phishing-PDF die zich voordoet als een beschadigd bestand. Deze PDF controleert of de bezoeker zich daadwerkelijk in Spanje of Portugal bevindt en verbergt de daadwerkelijke malware in een afbeelding. Het doel is het stelen van bankgegevens en het overnemen van accounts.
Ousaban blijft onopvallend op een Windows-pc actief en wacht tot de gebruiker een bankwebsite bezoekt. Zodra een doelbank wordt geladen, kan de trojan screenshots maken, toetsaanslagen registreren, het klembord manipuleren, valse meldingen tonen en de aanvaller op afstand toegang geven. Hiermee kan een live banksessie worden gekaapt en een account worden overgenomen. De malware richt zich op meer dan tweeëntwintig banken in Spanje en Portugal, waaronder Banco Santander, BBVA, CaixaBank, Bankinter en Caixa Geral de Depósitos.
De aanval start met een phishing-PDF die een prompt toont waarin het slachtoffer wordt gevraagd op een "Atualizar" (Update) knop te drukken. Dit opent een kwaadaardige webpagina die zich voordoet als een portaal voor belastingdocumenten en installatiebestanden. Verborgen JavaScript in de PDF kan deze pagina ook automatisch openen. De pagina voert een screening uit op bezoekers, waarbij eerdere versies onder meer het IP-adres, de taal en tijdzone controleerden, VPN-gebruikers blokkeerden en geautomatiseerde beveiligingstools filterden op basis van schermgrootte en geïnstalleerde lettertypen. De huidige versie verplaatst deze controles naar de server van de aanvaller, waardoor de exacte regels onbekend blijven. Bezoekers buiten Spanje of Portugal krijgen een Spaanse melding dat toegang geweigerd is in plaats van malware te ontvangen.
Na het passeren van de controle start de download van een afbeelding die eruitziet als een PDF-icoon, maar in werkelijkheid een ZIP-bestand bevat. Deze techniek, steganografie genoemd, verbergt de malware in een afbeelding. Een script pakt Ousaban uit het ZIP-bestand, voert het uit en verwijdert vervolgens de afbeelding, het ZIP-bestand en zichzelf om sporen te minimaliseren. Eenmaal actief voegt Ousaban een registervermelding toe met de naam Financeiro (Portugees voor "financieel") zodat het automatisch met Windows opstart.
De commandoserver die de malware aanstuurt is bewust moeilijk te traceren. De malware bevat een Pastebin-link naar een serveradres dat echter een lokmiddel is. Eerdere campagnes verstopten configuraties in Google Docs, maar nu verandert de echte server dagelijks. De malware leest de huidige datum van een Google-pagina, bouwt daaruit een webadres met een geheime sleutel en zoekt dat adres op. Het blokkeren van een eerder adres heeft daardoor weinig effect.
Ousaban, ook bekend als Javali, behoort tot een groep Braziliaanse banking trojans die Kaspersky jaren geleden de "Tetrade" noemde, samen met Grandoreiro, Guildma en Melcoz. Deze families begonnen in Brazilië en breidden zich uit naar Spanje en Portugal, waarbij ze code van elkaar overnamen. Zo gebruikt Ousaban dezelfde string-encryptie als de familie Casbaneiro. Grandoreiro, de bekendste van deze groep, toont de duurzaamheid van deze tactiek: ondanks een Interpol-gecoördineerde ontmanteling in januari 2024 was deze binnen enkele maanden weer actief, met vergelijkbare methoden zoals PDF-lokmiddelen en landchecks. Ook in 2026 zijn er nog campagnes tegen Portugese banken gemeld. Fortinet koppelt dezelfde infrastructuur aan Ousaban-activiteiten eind 2025, waarbij ook andere aanvalsmethoden werden ingezet, zoals "ClickFix" waarbij slachtoffers zelf kwaadaardige commando's plakken in de veronderstelling een fout te herstellen.
De eerste verdedigingslinie is het herkennen van de lokmiddelen. Elke PDF of e-mail die beweert dat een bestand beschadigd is en vraagt om op "Update" te klikken, moet als verdacht worden beschouwd. Dit geldt ook voor prompts die gebruikers aansporen om handelingen uit te voeren die niet verwacht worden.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *