Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

El troyano bancario Ousaban ataca a los usuarios del banco Iberia con un señuelo de PDF falso

Adobe parchea 7 fallas CVSS 10.0 en ColdFusion y Campaign Classic

UKAEA y CFS se asocian para producir tritio para energía de fusión

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»El troyano bancario Ousaban ataca a los usuarios del banco Iberia con un señuelo de PDF falso
Identidad

El troyano bancario Ousaban ataca a los usuarios del banco Iberia con un señuelo de PDF falso

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 1, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Un troyano bancario brasileño llamado Ousaban está dirigido a usuarios de Windows que realizan operaciones bancarias en España y Portugal. FortiGuard Labs de Fortinet identificó esta campaña en mayo de 2026.

Abre un PDF de phishing disfrazado de archivo corrupto, comprueba si el visitante se encuentra realmente en España o Portugal y oculta la carga útil real dentro de una imagen.

El objetivo es común: robar información de inicio de sesión bancaria y apoderarse de cuentas.

Ousaban se sienta tranquilamente en su PC con Windows y espera a que abra su sitio bancario. Una vez cargado el banco de destino, puede realizar capturas de pantalla y pulsaciones de teclas, alterar el portapapeles, mostrar mensajes falsos y otorgar control remoto al atacante.

Estas son herramientas utilizadas para secuestrar sesiones bancarias en vivo y apoderarse de cuentas. Husabán supervisa más de 20 bancos en ambos países, incluidos Banco Santander, BBVA, Caixa Bank, Banquintar y Caixa Gerard de Pocitos.

Cómo funciona el ataque

Comienza con un PDF de phishing disfrazado de archivo corrupto. El PDF muestra un mensaje que indica a la víctima que presione el botón «Actualizar», lo que abre una página web maliciosa.

JavaScript oculto dentro del PDF puede abrir la misma página por sí solo. Esta página pretende ser un documento fiscal y un portal de instalación mientras selecciona a los visitantes. Fortinet dice que las versiones anteriores realizaron estas comprobaciones dentro del navegador. El navegador analizó la dirección IP, el idioma y la zona horaria del visitante, bloqueó el acceso a través de una VPN y verificó detalles como el tamaño de la pantalla y las fuentes instaladas para excluir herramientas de seguridad automatizadas.

En la versión actual, esa evaluación se traslada a los servidores del operador, por lo que las reglas exactas están ocultas. En cualquier caso, los visitantes de fuera de España o Portugal verán un aviso de «Acceso denegado» en español en lugar de malware.

Una vez desmarcado, comenzará la descarga. El script descarga una imagen que parece un ícono de PDF, pero que tiene un archivo ZIP oculto en su interior. Este truco se llama esteganografía. El script descomprime Ousaban de ese ZIP y lo ejecuta, eliminando la imagen, el ZIP y él mismo para reducir lo que queda. Cuando ejecuta Ousaban, agrega una entrada de registro llamada Financeiro (en portugués, «finanzas»), lo que le permite iniciarse en Windows.

El servidor de comando de Ousaban, o la máquina que lo controla, es intencionalmente difícil de encontrar. Contiene un enlace Pastebin que apunta a una única dirección de servidor, que según Fortinet es un señuelo.

Es una antigua práctica de Ousaban ocultar estos detalles en los servicios web. Las campañas anteriores ocultaron la configuración en Google Docs. Esta vez el servidor real se mueve todos los días. El malware lee la fecha actual de una página de Google, construye una dirección web a partir de esa fecha y un secreto fijo, y la busca. Bloquear las direcciones de ayer tiene poco efecto.

El conocido manual brasileño

Nada de esto es nuevo. Ousaban, también identificado como Javali, forma parte de un grupo de troyanos bancarios brasileños que Kaspersky Lab clasificó hace muchos años como «Tetrade» junto con Grandoreiro, Guildma y Melcoz.

Estas familias comenzaron en Brasil y se expandieron a España y Portugal, tomando prestados códigos unos de otros a medida que avanzaban. El cifrado de cadenas de Ousaban es el mismo esquema personalizado utilizado en otra familia, Casbaneiro.

Grandreiro, el más conocido del grupo, demuestra lo duradero que es este libro de jugadas. Aunque sobrevivió a un derribo coordinado por Interpol en enero de 2024 y regresó a los pocos meses, su cargador dependía del mismo hábito de ocultar las descargas detrás de señuelos que parecían PDF y controles nacionales.

El ataque continúa apuntando a Iberia, con informes de campañas que continúan atacando a los bancos portugueses este año. Fortinet vinculó la misma infraestructura a la actividad de Ousaban a finales de 2025 que utilizó otros puntos de entrada, incluida la estafa “ClickFix”, que pega comandos maliciosos en las propias víctimas, haciéndolas creer que están solucionando un error.

que hacer

Lo primero que puedes hacer para pescar es un señuelo. Trate cualquier PDF o correo electrónico que afirme que el archivo está corrupto y le indique que presione «Actualizar» como hostil. Lo mismo ocurre con las indicaciones que le indican al usuario que pegue un comando para corregir un «error». El propio PDF también puede abrir páginas maliciosas.

España y Portugal, en particular, tratan como sospechosos las facturas, los hechos o los adjuntos de documentos fiscales inesperados.

La evaluación del lado del servidor significa que una zona de pruebas automatizada que solo recupera enlaces solo puede recuperar páginas de error en español y no malware. Es posible que te lo pierdas simplemente haciendo explotar la puerta de enlace. Esta campaña sólo afecta a Windows.

El informe de Fortinet enumera dominios bloqueados, direcciones IP y hashes de archivos. Los defensores deben monitorear la clave de ejecución del registro de Financeiro y los archivos colocados en C:\SysMain_5874288. Fortinet dice que su producto antivirus FortiGuard detecta muestras y su producto FortiMail detecta correos electrónicos de phishing.

El troyano en sí es antiguo y Fortinet dice que su cifrado personalizado ha sido eficaz contra la detección durante muchos años. La parte nueva es el envoltorio. Geofencing, cargas útiles ocultas y direcciones diarias desechables están diseñadas para exponer el malware a víctimas reales en dos países y a nadie más.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleAdobe parchea 7 fallas CVSS 10.0 en ColdFusion y Campaign Classic
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Adobe parchea 7 fallas CVSS 10.0 en ColdFusion y Campaign Classic

julio 1, 2026

La brecha entre conciencia y resiliencia

julio 1, 2026

Microsoft acelera la transición de la criptografía poscuántica hasta 2029

julio 1, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

El troyano bancario Ousaban ataca a los usuarios del banco Iberia con un señuelo de PDF falso

Adobe parchea 7 fallas CVSS 10.0 en ColdFusion y Campaign Classic

UKAEA y CFS se asocian para producir tritio para energía de fusión

Al igual que SpaceX, Meta busca convertir el excedente de computación de IA en efectivo

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.