Threats
A Fortinet identificou uma campanha do trojan bancário Ousaban dirigida a utilizadores portugueses e espanhóis, recorrendo a phishing, esteganografia e controlo remoto
15/07/2026
|
A Fortinet alertou para uma campanha ativa do trojan bancário Ousaban dirigida a utilizadores em Portugal e Espanha. Segundo a FortiGuard Labs, a ameaça representa uma evolução nas técnicas utilizadas pelo cibercrime financeiro, combinando phishing, esteganografia, geofencing e infraestruturas de comando e controlo concebidas para dificultar a deteção. Inicialmente identificado em ataques no Brasil, o Ousaban está agora a visar especificamente clientes de instituições financeiras da Península Ibérica. De acordo com a Fortinet, os atacantes restringem cuidadosamente a distribuição do malware, garantindo que apenas utilizadores localizados em Portugal e Espanha são expostos à infeção. A campanha tem início através de um ficheiro PDF de phishing que simula um documento corrompido. A vítima é incentivada a clicar num botão de atualização, sendo posteriormente encaminhada para uma página fraudulenta que imita um portal legítimo de documentos fiscais ou de software. A página analisa diversos parâmetros do sistema, incluindo o idioma, o fuso horário, o endereço IP e outras características do ambiente. Caso o utilizador não esteja localizado em Portugal ou Espanha, o acesso é bloqueado. Se os critérios definidos pelos atacantes forem cumpridos, é descarregado um ficheiro Visual Basic Script (VBS), responsável por obter uma imagem que esconde um ficheiro ZIP através de técnicas de esteganografia. O arquivo instala o malware Ousaban e elimina simultaneamente vários indicadores da infeção, dificultando posteriores análises forenses. Depois de instalado, o trojan estabelece mecanismos de persistência e monitoriza a atividade da vítima quando esta acede a serviços de banca online. A Fortinet identificou funcionalidades especificamente direcionadas para várias instituições financeiras que operam em Portugal e Espanha, incluindo Millennium BCP, Caixa Geral de Depósitos, Banco BPI, Novobanco, Santander, BBVA, CaixaBank e Banco Sabadell. O malware permite aos atacantes capturar imagens do ecrã, controlar remotamente o dispositivo comprometido, registar as teclas pressionadas, manipular a área de transferência e apresentar mensagens fraudulentas destinadas a recolher credenciais e outra informação sensível. As comunicações com a infraestrutura de comando e controlo são cifradas e recorrem a técnicas habitualmente utilizadas por trojans bancários originários da América Latina. Os investigadores observaram ainda a utilização de domínios gerados dinamicamente e alterados diariamente, dificultando o bloqueio da infraestrutura utilizada pelos atacantes. Para a Fortinet, esta campanha confirma a expansão do malware bancário para novos mercados europeus e evidencia o crescente nível de sofisticação das operações de cibercrime com motivação financeira. A empresa recomenda, por isso, que organizações e utilizadores reforcem a vigilância perante campanhas de phishing, mantenham as soluções de segurança atualizadas e promovam ações de sensibilização para reduzir o risco associado às técnicas de engenharia social. Segundo a Fortinet, os clientes que utilizam os serviços FortiGuard encontram-se protegidos através de mecanismos de antimalware, anti-phishing, antivírus, Content Disarm and Reconstruction (CDR), reputação de IP e proteção anti-botnet. |