Trojan bancário Ousaban ataca Portugal com PDFs falsos e páginas geo-bloqueadas

Um trojan bancário com origem no Brasil está a ser distribuído numa campanha dirigida especificamente a utilizadores em Portugal e Espanha. A operação combina três camadas de evasão pouco comuns em ataques dirigidos a este mercado: páginas fraudulentas que só respondem a visitantes destes dois países, esteganografia para esconder o instalador dentro de uma imagem aparentemente inofensiva e um servidor de comando cujo endereço muda todos os dias. A descoberta foi feita pela FortiGuard Labs, a equipa de investigação de ameaças da Fortinet, que identificou a campanha em maio de 2026 e publicou a respetiva análise técnica no início de julho.

Um PDF que finge estar corrompido

O ataque começa com um email que transporta um ficheiro PDF disfarçado de documento danificado. Ao abri-lo, a vítima vê uma caixa de erro e é convidada a clicar num botão “Atualizar” para recuperar o conteúdo. O PDF contém código JavaScript oculto — codificado em hexadecimal para dificultar a deteção por antivírus — que pode abrir automaticamente a página maliciosa, sem que seja necessário qualquer clique adicional. O simples ato de abrir o documento pode, por isso, ser suficiente para dar início à cadeia de infeção.

A página de destino apresenta-se como um repositório legítimo de documentos fiscais ou de instaladores de programas, mas antes de mostrar qualquer conteúdo verifica o ambiente do visitante: idioma do sistema, fuso horário, endereço IP e sinais de utilização de VPN. Segundo a FortiGuard Labs, versões anteriores desta página faziam estas verificações no próprio navegador, inspecionando até a resolução do ecrã e os tipos de letra instalados para identificar sandboxes e ferramentas automáticas de análise. A versão mais recente passou a fazer tudo no servidor — uma mudança que esconde os critérios exatos de filtragem e dificulta o trabalho dos investigadores. Quem acede a partir de fora de Espanha ou de Portugal recebe apenas um PDF com uma mensagem de “acesso negado” em espanhol.

Uma imagem que esconde o instalador

Só os visitantes que passam esta triagem avançam para o passo seguinte: a descarga de um ficheiro VBS que, entre várias funções aparentemente inócuas, vai buscar uma imagem disfarçada de ícone de PDF. Escondido dentro dessa imagem, por esteganografia, está um ficheiro ZIP com o executável do malware. O script extrai o arquivo, coloca o ficheiro final numa pasta com o nome C:\SysMain_5874288 e apaga de seguida a imagem, o ZIP e o próprio VBS, para deixar o menor rasto forense possível. A execução recorre a DLL side-loading ou a injeção direta em processos legítimos do Windows — técnicas que ajudam o malware a confundir-se com atividade normal do sistema.

A FortiGuard Labs liga ainda esta operação a atividade do mesmo grupo em finais de 2025, que usava dois vetores de entrada distintos: o mesmo tipo de PDF fraudulento e a técnica conhecida como ClickFix, em que a vítima é convencida a colar e executar um comando malicioso no próprio computador, julgando estar a corrigir um erro. Nessa vaga anterior, o instalador chegava sob a forma de um pacote MSI com um downloader escrito em Rust.

O que faz o Ousaban depois de instalado

Depois de executado, o Ousaban garante a sua persistência criando uma entrada de arranque automático no registo do Windows com o nome “Financeiro” e um ficheiro vazio que serve apenas para registar a data de instalação. A partir daí, permanece em silêncio à espera de que a vítima aceda a um dos mais de vinte serviços bancários que monitoriza em Espanha e Portugal — entre os quais está a Caixa Geral de Depósitos, ao lado de instituições como o Santander, o BBVA, o CaixaBank e o Bankinter.

Quando deteta uma sessão bancária, o malware pode capturar imagens do ecrã, registar tudo o que é escrito no teclado, manipular o conteúdo da área de transferência, apresentar mensagens falsas em nome do banco e entregar ao atacante o controlo remoto do computador. É um arsenal desenhado para sequestrar uma sessão de homebanking em curso — incluindo a interceção de credenciais e de códigos de autenticação — sem que o utilizador se aperceba de imediato.

Para comunicar com o servidor de comando e controlo, o Ousaban recorre a uma rotação diária de domínios: obtém a data atual a partir de uma página do Google e combina-a com uma cadeia de texto fixa para gerar, em cada dia, um novo subdomínio num serviço de DNS dinâmico. Bloquear o endereço de ontem, por isso, pouco adianta. Um endereço publicado no Pastebin, que à primeira vista aponta para o servidor de comando, funciona apenas como isco para desviar a atenção dos analistas — o verdadeiro servidor está sempre noutro sítio.

Segundo a FortiGuard Labs, o Ousaban — também identificado pelo nome Javali — pertence a uma família de trojans bancários de origem brasileira que a Kaspersky agrupou, há alguns anos, sob a designação “Tetrade”, juntamente com o Grandoreiro, o Guildma e o Melcoz. Todos começaram por atacar utilizadores no Brasil e expandiram, mais tarde, a atividade para a Península Ibérica, partilhando código e técnicas entre si — incluindo o algoritmo de cifra usado nas comunicações, comum a outras famílias latino-americanas como o Casbaneiro.

Porque é que isto importa em Portugal

Esta campanha confirma uma tendência que o CNCS tem vindo a assinalar nos seus relatórios: os incidentes de phishing e de engenharia social continuam, ano após ano, entre os mais registados pelo CERT.PT, com o setor bancário como um dos alvos preferenciais. O que distingue o Ousaban é o grau de seletividade — ao entregar o malware apenas a quem parece estar em Portugal ou Espanha, os atacantes reduzem a exposição a investigadores e tornam menos fiáveis as ferramentas automáticas de análise, que muitas vezes só chegam a ver a versão inofensiva da página.

Para as entidades abrangidas pelo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a diretiva NIS2), o caso é também um lembrete prático: a deteção não pode depender apenas de sandboxes ou de listas de bloqueio estáticas. Equipas de segurança devem cruzar sinais de endpoint, email, DNS e proxy, e prestar atenção a indicadores como pastas com o padrão C:\SysMain_*, chaves de arranque automático com o nome “Financeiro” e tráfego para domínios de DNS dinâmico com subdomínios que mudam diariamente. A formação de colaboradores para reconhecer este tipo de isco — em especial em organizações cujas equipas realizam operações bancárias em nome da empresa — continua a ser uma das defesas com melhor relação custo-benefício.

Como reduzir o risco

  • Desconfie de qualquer PDF que alegue estar “corrompido” e peça para clicar em “Atualizar” — é um dos iscos centrais desta campanha e de outras semelhantes.
  • Trate com suspeição pedidos para copiar e colar comandos no computador a pretexto de “corrigir um erro”: é o padrão típico da técnica ClickFix.
  • Evite abrir anexos ou seguir ligações em emails não solicitados que se apresentem como faturas, documentos fiscais ou instaladores de programas.
  • Mantenha o sistema operativo, o navegador e o antivírus atualizados, e não desative os avisos de segurança do Windows ou do browser.
  • Aceda ao site do seu banco escrevendo o endereço diretamente ou através dos favoritos, nunca a partir de uma ligação recebida por email.
  • Em ambiente empresarial, reporte de imediato qualquer suspeita à equipa de segurança interna ou, se aplicável, ao CERT.PT.

Esta informação tem caráter noticioso e baseia-se na análise técnica publicada pela FortiGuard Labs (Fortinet), com verificação cruzada em cobertura internacional especializada. Se suspeitar que o seu computador está infetado, desligue-o da rede e procure apoio técnico especializado.