🛡️ Executive Summary
- Ousaban prende di mira utenti bancari in Spagna e Portogallo con PDF di phishing e geofencing server-side.
- Il malware viene distribuito tramite file VBS che estraggono il payload da un’immagine steganografica camuffata da icona PDF.
- Il trojan usa persistenza via registro, stringhe bancarie cifrate e domini C2 giornalieri per frodi in tempo reale.
Il trojan bancario Ousaban, già noto per campagne contro utenti brasiliani, amplia il proprio raggio operativo e prende di mira clienti di banche in Spagna e Portogallo con una catena di infezione più selettiva e difficile da analizzare. La campagna combina PDF phishing, controlli di geolocalizzazione lato server, download condizionato di file VBS, payload nascosto tramite steganografia e un sistema di comando e controllo basato su domini giornalieri. Gli aggressori limitano l’esposizione del malware agli utenti della penisola iberica e riducono la visibilità verso sandbox, ricercatori e sistemi automatici di analisi. Una volta installato, Ousaban monitora l’attività del browser, cerca accessi a istituti finanziari target e abilita funzionalità di controllo remoto, screenshot, keylogging e manipolazione della sessione. La campagna mostra l’evoluzione dei trojan bancari latinoamericani verso operazioni più mirate, modulari e capaci di combinare social engineering con tecniche avanzate di evasione.
Cosa leggere
Il PDF di phishing simula un documento corrotto

Il vettore iniziale è un PDF malevolo progettato per apparire come un documento danneggiato o non correttamente visualizzabile. Il file mostra un messaggio che invita l’utente a eseguire un aggiornamento tramite un pulsante etichettato “Atualizar”, termine coerente con una platea lusofona e quindi adatto anche al targeting in Portogallo. Il clic reindirizza la vittima verso una pagina web controllata dagli aggressori, mentre codice JavaScript offuscato in formato esadecimale contribuisce a generare messaggi di errore e ad avviare la stessa catena di accesso. La scelta del PDF è coerente con campagne bancarie e fiscali: fatture, documenti amministrativi, contratti e comunicazioni finanziarie vengono aperti spesso senza verifiche approfondite, soprattutto quando sembrano richiedere un semplice aggiornamento per essere letti.
Geofencing server-side limita l’esposizione del malware
La pagina web malevola introduce uno dei passaggi più importanti della campagna: il geofencing lato server. Invece di eseguire tutti i controlli anti-analisi nel browser, gli aggressori raccolgono informazioni sull’indirizzo IP, sulla lingua del browser, sul fuso orario e su altri parametri dell’ambiente, decidendo lato server se consegnare o meno il payload. Se l’accesso non proviene da Spagna o Portogallo, la pagina restituisce un PDF con un messaggio di accesso negato in spagnolo, riducendo la probabilità che analisti esterni ottengano il campione reale. Il sistema blocca anche indirizzi associati a VPN, cercando indicatori nell’organizzazione dell’IP. Anche quando il controllo fallisce, i dati ambientali vengono comunque inviati agli attaccanti, offrendo ulteriore telemetria sulla distribuzione e sui tentativi di analisi.
Il downloader VBS estrae Ousaban da un’immagine steganografica

Quando la vittima supera i controlli geografici e ambientali, la pagina scarica un file VBS incaricato di recuperare il payload. Il codice contiene numerose chiamate apparentemente innocue, ma il suo compito reale è scaricare un’immagine steganografica che appare come una normale icona PDF. All’interno dell’immagine è nascosto un archivio ZIP contenente l’eseguibile di Ousaban. Il VBS estrae i dati, salva temporaneamente immagine e archivio nella cartella Temp, quindi rilascia il payload nella directory C:\SysMain_5874288. Dopo l’esecuzione elimina immagine, ZIP e se stesso, riducendo gli artefatti disponibili per le indagini forensi. La steganografia consente agli attaccanti di evitare il download diretto di un file eseguibile, spesso più facilmente intercettato da proxy, gateway email e soluzioni endpoint.
Persistenza e monitoraggio dell’attività bancaria
Dopo l’avvio, Ousaban crea un valore di registro chiamato Financeiro nella chiave CurrentVersion\Run, così da riattivarsi al riavvio del sistema. Il malware crea anche un file vuoto denominato maisum.dat, usato come riferimento temporale per stabilire il momento dell’installazione. A questo punto il trojan decritta stringhe relative a istituti bancari e servizi finanziari, utilizzandole per monitorare la navigazione dell’utente. Il contatto con il server di comando e controllo non avviene in modo indiscriminato: Ousaban attende che la vittima acceda a uno dei portali bancari target tramite browser e solo allora attiva le comunicazioni operative. Questa logica condizionale riduce il rumore di rete, limita i segnali visibili ai sistemi di sicurezza e rende più difficile osservare il comportamento completo in ambienti di sandbox che non simulano correttamente l’accesso ai servizi finanziari.
Cifratura custom e targeting degli istituti iberici
Le stringhe bancarie usate da Ousaban sono protette con un algoritmo di cifratura personalizzato già osservato in altri trojan bancari latinoamericani, tra cui Casbaneiro. Il primo byte dei dati cifrati funziona come offset casuale; ogni byte successivo viene sottoposto a operazione XOR con la chiave e corretto usando l’offset corrente, che viene poi aggiornato con il risultato ottenuto. Questa scelta produce output differenti anche per lo stesso testo in chiaro, rendendo meno efficace l’analisi statica basata su pattern ricorrenti. Una volta decrittate, le stringhe permettono al malware di riconoscere portali bancari specifici in Spagna e Portogallo. La precisione del targeting conferma che la campagna non è generalista, ma orientata alla frode bancaria su utenti della penisola iberica.
Domini C2 giornalieri e Pastebin come diversivo

Il meccanismo di comando e controllo introduce un ulteriore livello di evasione. Ousaban decritta un link Pastebin che contiene un indirizzo IP privato, ma non usa direttamente quell’indirizzo per comunicare. Il vero hostname C2 viene calcolato ogni giorno combinando la stringa fissa “aki” con i primi otto caratteri di un hash MD5, generato a partire da una lunga stringa hardcoded unita alla data corrente. Per ottenere la data, il malware accede intenzionalmente alla pagina Google Automated Queries e ne estrae il valore dal contenuto. Se il dominio giornaliero risulta risolvibile, il trojan stabilisce la connessione e cifra il traffico con lo stesso algoritmo usato per proteggere le stringhe bancarie. Il post Pastebin agisce quindi come diversivo analitico, mentre la reale infrastruttura C2 cambia dinamicamente in base al giorno.
Controllo remoto per frodi bancarie in tempo reale
Una volta collegato al server, Ousaban supporta comandi per raccogliere informazioni sull’utente, assegnare un identificativo vittima, inviare heartbeat, leggere la risoluzione dello schermo e avviare sessioni di cattura screenshot. Le funzionalità più rilevanti sono quelle di controllo remoto: gestione del mouse e della tastiera, keylogging, manipolazione della clipboard e visualizzazione di messaggi falsi per ingannare la vittima durante l’operazione. Questo modello consente agli aggressori di intervenire mentre l’utente è connesso al proprio conto bancario, simulando o guidando operazioni fraudolente in tempo reale. I falsi messaggi migliorano la credibilità dell’interazione e possono ritardare la reazione della vittima, offrendo agli operatori più tempo per completare trasferimenti o raccolta di credenziali.
Evoluzione delle campagne e indicatori da monitorare
Rispetto alle campagne precedenti, Ousaban mostra una catena di delivery più raffinata. Le operazioni del 2025 usavano tecniche come ClickFix, installer MSI e downloader in Rust; la campagna attuale preferisce VBS, steganografia e controlli server-side. Le organizzazioni e gli utenti in Spagna e Portogallo dovrebbero monitorare PDF che simulano errori di apertura, download inattesi di script VBS, creazione della directory C:\SysMain_5874288, presenza del valore Financeiro in CurrentVersion\Run e file anomali come maisum.dat. Il rilevamento deve considerare anche accessi sospetti a domini generati giornalmente e traffico cifrato attivato solo durante visite a portali bancari. La campagna conferma che i trojan bancari moderni non puntano più soltanto alla raccolta passiva di credenziali, ma combinano geofencing, evasione, persistenza e controllo remoto per eseguire frodi mirate quando la vittima è più vulnerabile.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









