TECNOLOGIA

Un troyano bancario brasileño se dirige a clientes de Santander y BBVA con señuelos PDF falsos

TL; DR

Fortinet descubrió que Osaban apuntaba a usuarios de bancos españoles y portugueses con archivos PDF geocercados que ocultan malware dentro de imágenes y servidores rotativos diariamente.

Un troyano bancario brasileño llamado Ousaban está dirigido a usuarios de Windows que realizan operaciones bancarias en España y Portugal, utilizando archivos PDF falsos, geocercas y una carga oculta dentro de una imagen para robar credenciales sin activar herramientas de seguridad. FortiGuard Labs de Fortinet identificó la campaña en mayo y publicó su análisis esta semana.

El ataque comienza con un PDF de phishing disfrazado de archivo malicioso. El documento pide a la víctima que presione un “actualizar" (actualizar), que abre una página web maliciosa que se hace pasar por un portal de documentos fiscales. El JavaScript oculto dentro del PDF puede abrir la misma página automáticamente, por lo que la víctima ni siquiera necesita hacer clic.

Antes de entregar la carga útil, la campaña examina a cada visitante. Una versión anterior verifica la dirección IP del navegador, el idioma, la zona horaria, el tamaño de la pantalla y las fuentes instaladas, bloqueando a cualquiera que use una VPN o una zona de pruebas automatizada. La versión actual ejecuta esas comprobaciones en el lado del servidor, por lo que las reglas de filtrado exactas están ocultas, pero los visitantes fuera de España y Portugal todavía solo ven una española.Acceso denegado"Notificación

Cualquiera que pase el filtro descarga una imagen que parece un ícono de PDF pero es un archivo ZIP, una técnica llamada esteganografía. Un script descomprime el malware del zip, lo ejecuta y luego elimina la imagen, el zip y a sí mismo. Una vez instalado, Osaban agrega una entrada de registro de Windows llamada "financieroEntonces comienza automáticamente.

Espacio de coworking TNW City: donde ocurre su mejor trabajo

Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.

El troyano permanece en silencio hasta que el usuario abre un sitio bancario, luego realiza capturas de pantalla y pulsaciones de teclas, manipula el portapapeles, muestra mensajes falsos y le da al atacante control remoto. Fortinet dice que Osaban supervisa más de dos docenas de bancos en España y Portugal, incluidos Santander, BBVA, Caxabank, Bankinter y Caxa Geral de Depositos.

Su servidor de comando es difícil de precisar intencionalmente. El malware lee la fecha actual de una página de Google, la combina con un secreto específico para generar una dirección web y se resuelve en un nuevo servidor cada día, haciendo que las listas de bloqueo tradicionales sean casi inútiles. Ocultar la infraestructura detrás de los servicios web es una vieja práctica de Osaban: campañas anteriores ocultaban datos de configuración en Google Docs.

Osaban, también identificado como Javali, pertenece a un grupo de troyanos bancarios brasileños que Kaspersky hace unos años denominó “tétrada,"junto a Grandoreiro, Gildma y Melcoz. Los cuatro comenzaron en Brasil y se expandieron a la Península Ibérica, compartiendo códigos a lo largo del camino. Grandoreiro, el más conocido del grupo, sobrevivió a un derribo coordinado por Interpol en enero de 2024 y regresó a los pocos meses, y todavía está activo contra objetivos europeos este año.

Fortinet dice que sus productos antivirus marcan las muestras y su servicio FortiMail detecta correos electrónicos de phishing. Para todos los demás, la primera línea de defensa es la tentación misma: cualquier PDF o correo electrónico que afirme que un archivo es malicioso y le indique que "presione"Actualizar" debe considerarse hostil. Esto también se aplica a las solicitudes que piden a los usuarios que peguen un comando para corregir un error, una técnica conocida como ClickFix que vincula a la actividad de Osaban relacionada con Fortinet desde finales de 2025.

Source link

Redacción - ACN

Somos un portal de noticias líder en la República Dominicana que se especializa en ofrecer una cobertura informativa integral. Desde eventos políticos y económicos hasta avances científicos y noticias de entretenimiento, este sitio web es tu fuente confiable para mantenerse al día con los acontecimientos más relevantes tanto a nivel nacional como internacional. Además de ofrecer informes actualizados, ACN también se destaca por sus análisis en profundidad y sus entrevistas exclusivas que proporcionan una comprensión más completa de las noticias.

Artículos Relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Volver arriba botón