
Un troyano bancario brasileño llamado Ousaban está dirigido a usuarios de Windows que realizan operaciones bancarias en España y Portugal. FortiGuard Labs de Fortinet identificó esta campaña en mayo de 2026.
Abre un PDF de phishing disfrazado de archivo corrupto, comprueba si el visitante se encuentra realmente en España o Portugal y oculta la carga útil real dentro de una imagen.
El objetivo es común: robar información de inicio de sesión bancaria y apoderarse de cuentas.
Ousaban se sienta tranquilamente en su PC con Windows y espera a que abra su sitio bancario. Una vez cargado el banco de destino, puede realizar capturas de pantalla y pulsaciones de teclas, alterar el portapapeles, mostrar mensajes falsos y otorgar control remoto al atacante.
Estas son herramientas utilizadas para secuestrar sesiones bancarias en vivo y apoderarse de cuentas. Husabán supervisa más de 20 bancos en ambos países, incluidos Banco Santander, BBVA, Caixa Bank, Banquintar y Caixa Gerard de Pocitos.
Cómo funciona el ataque
Comienza con un PDF de phishing disfrazado de archivo corrupto. El PDF muestra un mensaje que indica a la víctima que presione el botón «Actualizar», lo que abre una página web maliciosa.
JavaScript oculto dentro del PDF puede abrir la misma página por sí solo. Esta página pretende ser un documento fiscal y un portal de instalación mientras selecciona a los visitantes. Fortinet dice que las versiones anteriores realizaron estas comprobaciones dentro del navegador. El navegador analizó la dirección IP, el idioma y la zona horaria del visitante, bloqueó el acceso a través de una VPN y verificó detalles como el tamaño de la pantalla y las fuentes instaladas para excluir herramientas de seguridad automatizadas.
En la versión actual, esa evaluación se traslada a los servidores del operador, por lo que las reglas exactas están ocultas. En cualquier caso, los visitantes de fuera de España o Portugal verán un aviso de «Acceso denegado» en español en lugar de malware.
Una vez desmarcado, comenzará la descarga. El script descarga una imagen que parece un ícono de PDF, pero que tiene un archivo ZIP oculto en su interior. Este truco se llama esteganografía. El script descomprime Ousaban de ese ZIP y lo ejecuta, eliminando la imagen, el ZIP y él mismo para reducir lo que queda. Cuando ejecuta Ousaban, agrega una entrada de registro llamada Financeiro (en portugués, «finanzas»), lo que le permite iniciarse en Windows.
El servidor de comando de Ousaban, o la máquina que lo controla, es intencionalmente difícil de encontrar. Contiene un enlace Pastebin que apunta a una única dirección de servidor, que según Fortinet es un señuelo.

Es una antigua práctica de Ousaban ocultar estos detalles en los servicios web. Las campañas anteriores ocultaron la configuración en Google Docs. Esta vez el servidor real se mueve todos los días. El malware lee la fecha actual de una página de Google, construye una dirección web a partir de esa fecha y un secreto fijo, y la busca. Bloquear las direcciones de ayer tiene poco efecto.
El conocido manual brasileño
Nada de esto es nuevo. Ousaban, también identificado como Javali, forma parte de un grupo de troyanos bancarios brasileños que Kaspersky Lab clasificó hace muchos años como «Tetrade» junto con Grandoreiro, Guildma y Melcoz.
Estas familias comenzaron en Brasil y se expandieron a España y Portugal, tomando prestados códigos unos de otros a medida que avanzaban. El cifrado de cadenas de Ousaban es el mismo esquema personalizado utilizado en otra familia, Casbaneiro.
Grandreiro, el más conocido del grupo, demuestra lo duradero que es este libro de jugadas. Aunque sobrevivió a un derribo coordinado por Interpol en enero de 2024 y regresó a los pocos meses, su cargador dependía del mismo hábito de ocultar las descargas detrás de señuelos que parecían PDF y controles nacionales.
El ataque continúa apuntando a Iberia, con informes de campañas que continúan atacando a los bancos portugueses este año. Fortinet vinculó la misma infraestructura a la actividad de Ousaban a finales de 2025 que utilizó otros puntos de entrada, incluida la estafa “ClickFix”, que pega comandos maliciosos en las propias víctimas, haciéndolas creer que están solucionando un error.
que hacer
Lo primero que puedes hacer para pescar es un señuelo. Trate cualquier PDF o correo electrónico que afirme que el archivo está corrupto y le indique que presione «Actualizar» como hostil. Lo mismo ocurre con las indicaciones que le indican al usuario que pegue un comando para corregir un «error». El propio PDF también puede abrir páginas maliciosas.
España y Portugal, en particular, tratan como sospechosos las facturas, los hechos o los adjuntos de documentos fiscales inesperados.
La evaluación del lado del servidor significa que una zona de pruebas automatizada que solo recupera enlaces solo puede recuperar páginas de error en español y no malware. Es posible que te lo pierdas simplemente haciendo explotar la puerta de enlace. Esta campaña sólo afecta a Windows.
El informe de Fortinet enumera dominios bloqueados, direcciones IP y hashes de archivos. Los defensores deben monitorear la clave de ejecución del registro de Financeiro y los archivos colocados en C:\SysMain_5874288. Fortinet dice que su producto antivirus FortiGuard detecta muestras y su producto FortiMail detecta correos electrónicos de phishing.
El troyano en sí es antiguo y Fortinet dice que su cifrado personalizado ha sido eficaz contra la detección durante muchos años. La parte nueva es el envoltorio. Geofencing, cargas útiles ocultas y direcciones diarias desechables están diseñadas para exponer el malware a víctimas reales en dos países y a nadie más.
Source link
