Een Braziliaanse banktrojan heeft gebeld Ousaban gaat achter Windows-gebruikers aan die bankieren in Spanje en Portugal. Fortinet’s FortiGuard Labs identificeerde de campagne in mei 2026.
Het opent met een phishing-pdf, vermomd als een beschadigd bestand, controleert of de bezoeker zich echt in Spanje of Portugal bevindt en verbergt de werkelijke lading in een afbeelding.
Het doel is het gebruikelijke: het stelen van banklogins en het overnemen van accounts.
Ousaban zit rustig op een Windows-pc en wacht tot de gebruiker een banksite opent. Wanneer een doelbank wordt geladen, kan deze schermafbeeldingen en toetsaanslagen vastleggen, met het klembord knoeien, nepberichten weergeven en de aanvaller afstandsbediening geven.
Samen zijn dit de hulpmiddelen om een live banking-sessie te kapen en een rekening over te nemen. Ousaban waakt over meer dan twintig banken in de twee landen, waaronder Banco Santander, BBVA, CaixaBank, Bankinter en Caixa Geral de Depósitos.
Hoe de aanval werkt
Het begint met een phishing-pdf, vermomd als een beschadigd bestand. De pdf toont een prompt waarin het slachtoffer wordt gevraagd op de knop “Atualizar” (Update) te drukken, waardoor een kwaadaardige webpagina wordt geopend.
Verborgen JavaScript in de PDF kan dezelfde pagina zelfstandig openen. De pagina doet zich voor als belastingdocument en installatieportaal terwijl bezoekers worden gescreend. Fortinet zegt dat een eerdere versie deze controles in de browser uitvoerde: er werd gekeken naar het IP-adres, de taal en de tijdzone van de bezoeker, iedereen die via een VPN kwam geblokkeerd en geautomatiseerde beveiligingstools eruit gefilterd door details zoals schermgrootte en geïnstalleerde lettertypen te controleren.
De huidige versie verplaatst die screening naar de server van de operator, dus de exacte regels zijn verborgen. Hoe dan ook, bezoekers buiten Spanje of Portugal krijgen een Spaanse melding ‘Toegang geweigerd’ in plaats van malware.
Wis het vinkje en het downloaden begint. Een script downloadt een afbeelding die lijkt op een PDF-pictogram, maar daarin een ZIP-bestand verbergt, een truc die steganografie wordt genoemd. Het script pakt Ousaban uit die ZIP, voert het uit en verwijdert vervolgens de afbeelding, de ZIP en zichzelf om minder achter te laten. Eenmaal gestart, voegt Ousaban een registervermelding toe met de naam Financeiro (Portugees voor “financiën”), zodat het opstart met Windows.
De commandoserver van Ousaban, de machine die hem bestuurt, is opzettelijk moeilijk te vinden. Het bevat een Pastebin-link die naar één serveradres verwijst, maar Fortinet zegt dat dat adres een lokmiddel is.

Het verbergen van deze details in webservices is een oude gewoonte van Ousaban: eerdere campagnes stopten de configuratie in Google Docs. Deze keer beweegt de echte server elke dag. De malware leest de huidige datum van een Google-pagina, bouwt een webadres vanaf die datum samen met een vast geheim, en zoekt dit op. Het blokkeren van het adres van gisteren heeft weinig zin.
Een bekend Braziliaans speelboek
Niets hiervan is nieuw. Ousaban, ook wel Javali genoemd, maakt deel uit van een groep Braziliaanse banktrojans die Kaspersky jaren geleden bestempelde als de ‘Tetrade’, naast Grandoreiro, Guildma en Melcoz.
Deze families begonnen in Brazilië en drongen door naar Spanje en Portugal, terwijl ze gaandeweg code van elkaar leenden; De string-encryptie van Ousaban is hetzelfde aangepaste schema dat wordt gebruikt door een andere familie, Casbaneiro.
Grandoreiro, de bekendste van de groep, laat zien hoe duurzaam het draaiboek is. Het overleefde een door Interpol gecoördineerde verwijdering in januari 2024 en was binnen enkele maanden weer terug, en de laders leunden op dezelfde gewoonte om downloads te verbergen achter pdf-achtige lokmiddelen en landencontroles.
Het is nog steeds actief tegen Iberische doelwitten, met een campagne die dit jaar werd gerapporteerd en die Portugese banken bleef treffen. Fortinet koppelt eind 2025 dezelfde infrastructuur aan de Ousaban-activiteit die andere toegangspunten gebruikte, waaronder ‘ClickFix’, een oplichting waarbij het slachtoffer zelf een kwaadaardig commando plakt terwijl hij denkt een fout te herstellen.
Wat te doen
De eerste plaats om hem te vangen is het kunstaas. Behandel elke PDF of e-mail waarin wordt beweerd dat een bestand beschadigd is en waarin wordt aangegeven dat u op ‘Update’ moet drukken, als vijandig. Hetzelfde geldt voor aanwijzingen die gebruikers vertellen een opdracht te plakken om een ’fout’ te herstellen. De PDF kan de kwaadaardige pagina zelfs zelfstandig openen.
Behandel onverwachte factuur-, factura- of belastingdocumentbijlagen als verdacht, vooral in Spanje en Portugal.
Server-side screening betekent dat een geautomatiseerde sandbox die alleen de link ophaalt, mogelijk alleen de Spaanse foutpagina te zien krijgt in plaats van de malware. Alleen de gateway-ontploffing kan het missen. De campagne heeft alleen betrekking op Windows.
Het rapport van Fortinet vermeldt domeinen, IP-adressen en bestandshashes die moeten worden geblokkeerd. Verdedigers moeten letten op de Run-sleutel van het Financeiro-register en op bestanden die zijn neergezet in C:SysMain_5874288. Fortinet zegt dat zijn FortiGuard-antivirus de monsters markeert, en dat zijn FortiMail-product de phishing-e-mail markeert.
De Trojan zelf is oud en Fortinet zegt dat de aangepaste encryptie al jaren effectief blijft tegen detectie. Het nieuwere deel is de verpakking: geofencing, een verborgen lading en een wegwerpdagelijks adres, allemaal gebouwd om de malware aan echte slachtoffers in twee landen en aan niemand anders te laten zien.