
Ousaban银行木马借假PDF瞄准伊比利亚用户
Fortinet称,Brazilian banking trojan Ousaban 在 2026 年 5 月针对在 Spain 和 Portugal 进行网银操作的 Windows 用户发起活动。攻击以伪装损坏文件的 phishing PDF 开始,结合地理筛选、隐蔽载荷和伪造页面,目标是窃取银行登录信息并接管账户。
一款名为 Ousaban 的 Brazilian banking trojan 正在针对在 Spain 和 Portugal 进行网银操作的 Windows 用户发起攻击。Fortinet 的 FortiGuard Labs 于 2026 年 5 月识别出该活动。
攻击以一份伪装成损坏文件的 phishing PDF 开始,先确认访问者确实位于 Spain 或 Portugal,然后把真实载荷隐藏在一张图片里。
其目标一如既往:窃取银行登录信息并接管账户。
Ousaban 会静静驻留在 Windows PC 上,等待用户打开银行网站。当目标银行页面加载时,它可以截屏、记录按键、篡改剪贴板、显示虚假消息,并赋予攻击者远程控制。
这些能力组合起来,就是劫持实时网银会话并接管账户的工具。Ousaban 监视 Spain 和 Portugal 的二十多家银行,其中包括 Banco Santander、BBVA、CaixaBank、Bankinter 和 Caixa Geral de Depósitos。
攻击如何运作
攻击从一份伪装成损坏文件的 phishing PDF 开始。PDF 会显示提示,要求受害者点击 “Atualizar” (Update) 按钮,从而打开一个恶意网页。
PDF 中隐藏的 JavaScript 也可以自行打开同一页面。该页面伪装成税务文档和安装门户,同时对访问者进行筛查。Fortinet 说,早期版本在浏览器中执行这些检查:它会查看访问者的 IP 地址、语言和时区,阻止经由 VPN 进入的人,并通过检查屏幕尺寸和已安装字体等细节过滤自动化安全工具。
当前版本把这项筛查移到了运营者的服务器端,因此具体规则被隐藏起来。无论哪种方式,来自 Spain 或 Portugal 之外的访问者看到的都是 Spanish 的 “access denied” 提示,而不是恶意软件。
通过检查后,下载便会开始。一个脚本会下载一张看起来像 PDF 图标、但内部隐藏 ZIP 文件的图片,这种技巧称为 steganography。脚本随后从该 ZIP 中解包 Ousaban,运行它,然后删除图片、ZIP 和脚本本身,以减少残留。运行后,Ousaban 会添加一个名为 Financeiro(葡萄牙语意为“finance”)的 registry 项,使其随 Windows 启动。
Ousaban 的 command server,也就是控制它的机器,被刻意隐藏得很难找到。它携带一个 Pastebin 链接,该链接指向一个服务器地址,但 Fortinet 说该地址只是诱饵。
把这些细节隐藏在 web 服务中,是 Ousaban 长期以来的做法:早期活动把配置藏在 Google Docs 里。这一次,真实服务器每天都会更换。恶意软件会读取 Google 页面上的当前日期,用该日期加上一个固定密钥构造 web 地址,并进行查询。封锁昨天的地址作用不大。
熟悉的 Brazilian 手法
这些都不是新招数。Ousaban,也被追踪为 Javali,是 Kaspersky 多年前归类为 “Tetrade” 的一组 Brazilian banking trojans 之一,与 Grandoreiro、Guildma 和 Melcoz 并列。
这些家族最初发源于 Brazil,随后扩展到 Spain 和 Portugal,并在过程中相互借用代码;Ousaban 的字符串加密与另一个家族 Casbaneiro 使用的自定义方案相同。
该集团中最知名的 Grandoreiro 说明了这套手法的顽强性。它在 2024 年 1 月经历了 Interpol 协调的清除行动后,几个月内又恢复活动,而其 loader 也依赖同样的做法:把下载隐藏在 PDF 伪装的诱饵之后,并结合国家筛查。
它至今仍在针对 Iberian 目标活动,今年报告的一次活动持续攻击 Portuguese 银行。Fortinet 将相同基础设施与 2025 年末的 Ousaban 活动联系起来,当时还使用了其他入口点,包括 “ClickFix”,这是一种骗局,诱使受害者在以为自己在修复错误时自行粘贴恶意命令。
应对建议
最先要识别的是诱饵。任何声称文件已损坏、并要求你点击 “Update” 的 PDF 或邮件都应视为恶意。要求用户粘贴命令以修复 “error” 的提示也一样。PDF 甚至可能自行打开恶意页面。
对意外收到的 invoice、factura 或税务文档附件应保持警惕,尤其是在 Spain 和 Portugal。
由于筛查在服务器端完成,只是自动化 sandbox 直接抓取链接,可能只会得到 Spanish 的错误页面,而不是恶意软件。单靠 gateway detonation 可能会漏检。该活动只影响 Windows。
Fortinet 的报告列出了可用于阻断的 domains、IP addresses 和 file hashes。防御者应监视名为 Financeiro 的 registry Run key,以及投放到 C:\SysMain_5874288 的文件。Fortinet 表示,其 FortiGuard antivirus 会标记这些样本,FortiMail 产品会标记该 phishing email。
这个 Trojan 本身已经存在多年,Fortinet 说其自定义加密多年来一直有效地规避检测。较新的部分是外层包装:geofencing、隐藏载荷和一次性每日地址,这些设计都是为了让恶意软件只展示给两个国家的真实受害者,而不是其他人。