Fortinet informó recientemente sobre una campaña activa del troyano bancario Ousaban, una familia de malware originaria de Brasil que fue adaptada para comprometer usuarios de servicios financieros en España y Portugal. De acuerdo con el análisis publicado por FortiGuard Labs, la actividad fue observada desde mayo de este año y está dirigida específicamente a equipos con Windows mediante una cadena de infección diseñada para dificultar la detección por parte de herramientas de análisis automatizadas.

La infección comienza con un documento PDF de phishing que aparenta estar dañado. El archivo presenta un botón de actualización («Atualizar») que conduce al usuario a un sitio malicioso que simula ser un portal relacionado con documentos tributarios. Antes de entregar el malware, el servidor analiza distintas características del visitante para verificar que se encuentre en España o Portugal, incluyendo información como la dirección IP, el idioma y la zona horaria. Además, bloquea conexiones realizadas mediante VPN y diversos entornos utilizados para el análisis automatizado.

Imagen del flujo de ataque obtenido del informe de Fortinet

Fortinet explicó que la versión más reciente trasladó estas comprobaciones desde el navegador del usuario hacia el servidor de los atacantes, ocultando así los criterios empleados para seleccionar a las víctimas. Según la investigación, esta versión mueve esa evaluación al servidor del operador, ocultando la lógica de decisión y dificultando el análisis por parte de los investigadores.

Cuando la víctima supera las validaciones geográficas, el servidor entrega un script que descarga una imagen con apariencia de un ícono PDF. En realidad, la imagen contiene un archivo comprimido oculto mediante técnicas de esteganografía, desde el cual se extrae y ejecuta el malware. Posteriormente, el propio script elimina los archivos utilizados durante la instalación con el propósito de reducir rastros en el sistema comprometido.

Una vez instalado, Ousaban permanece en segundo plano hasta detectar que el usuario accede a alguno de los servicios bancarios incluidos en su lista de objetivos. Entre ellos se encuentran entidades como Santander, BBVA, CaixaBank, Bankinter, Revolut y Caixa Geral de Depósitos. Cuando identifica una sesión bancaria, el malware puede capturar pulsaciones de teclado, realizar capturas de pantalla, manipular el portapapeles, mostrar pantallas bancarias falsas y proporcionar control remoto al operador.

El informe también describe una infraestructura de comando y control diseñada para evitar bloqueos permanentes. En lugar de utilizar un servidor fijo, el malware genera diariamente el dominio de comunicación a partir de la fecha obtenida desde una página de error de Google. Asimismo, incorpora un enlace a Pastebin que apunta deliberadamente a una dirección IP privada sin utilidad operativa para desviar el análisis de los investigadores.

Diferentes reportes de medios que analizaron el documento concluyeron que Ousaban no es un tipo de ataque fundamentalmente nuevo, sino una evolución altamente optimizada de las estrategias tradicionales de los troyanos bancarios latinoamericanos con más de una década de antigüedad.

Como medidas de protección, la investigación recomienda desconfiar de archivos PDF que indiquen estar dañados y soliciten pulsar un botón de actualización, prestar especial atención a correos relacionados con facturas o documentos tributarios inesperados y complementar el análisis de sandbox con la correlación de registros de correo electrónico, DNS, proxy y terminales, ya que el uso de geolocalización puede impedir que las soluciones automatizadas reciban la carga maliciosa.