Vírus bancário ativo no Brasil foi adaptado para roubar usuários na Europa

Wait 5 sec.

A Fortinet descobriu que um conhecido Cavalo de Troia que atacava usuários no Brasil, agora é utilizado para fazer vítimas na Espanha e em Portugal. O relatório técnico foi publicado por pesquisadores do FortiGuard Labs na última quarta-feira (1º), indicando a utilização de técnicas de phishing e localização geográfica da vítima.Ativo na Europa desde maio de 2026, o vírus utiliza uma combinação altamente otimizada de PDFs falsos, engenharia social e checagens geográficas no servidor. A conexão estabelecida faz com que esse trojan seja ativado somente em usuários que estão localizados fisicamente na Espanha ou Portugal.Tudo começa quando a vítima recebe um email com um PDF aparentemente legítimo, mas ao tentar abrí-lo, uma mensagem escrita “Não é possível abrir este arquivo”, seguida por um botão de “Atualizar”. A vítima pensa que seu aplicativo leitor de PDF está ruim e clica no botão de atualização. A partir de então ele é redirecionado para um site malicioso.Se a vítima for de outro país, o vírus não é entregue ao usuário (Imagem: Fortinet/reprodução)O diferencial do golpe é que ele se mostra ao usuário como um portal de impostos do governo. Mas antes de distribuir o malware, o servidor analisa se a vítima está realmente nos países citados. Caso esteja, o site começa o download de uma imagem com ícone de PDF. Aparentemente legítima, essa imagem oculta o vírus, que é executado no PC.A periculosidade do Ousaban reside no fato que ele é especialista em perdas financeiras. Ele possui uma lista de dezenas de instituições, como Santander, BBVA, Caixa Geral de Depósitos e Revolut. Por meio de suas capacidades em segundo plano, o trojan pode efetuar transações ilícitas.A engenharia do OusabanO Ousaban pertence à mesma família de malwares do temido Casbaneiro, um tipo de Cavalo de Troia focado estritamente em infectar computadores para esvaziar contas bancárias. Esse vírus opera em uma linguagem de programação e com criptografia mais antiga, de 2008. Apesar disso, os cibercriminosos modernizaram o arquivo.Esse Ousaban usa uma técnica chamada de triagem geográfica (geofencing), ou seja o servidor checa o endereço de IP, o fuso horário e o idioma do computador da vítima. Isso faz parte da metodologia de entrar o vírus somente para portugueses e espanhóis nos países de origem.A grande chave do malware está naquele download final da imagem com logo de PDF. Esse é um truque chamado de Esteganografia e consiste em esconder uma mensagem ou arquivo dentro de outro. Para os antivírus comuns, parece apenas o download de uma foto, o que permite que o arquivo passe direto pelas defesas.Exemplo de uma imagem de solicitação bancária falsa realizada pelos criminosos (Imagem: Fortinet/reprodução)Uma vez dentro da máquina, o Ousaban faz coisas interessantes no PC. Ele consegue registrar as teclas digitadas e captar credenciais, como senhas. Há o monitoramento do que a vítima copia e cola, e caso ele detecte uma chave de transferência bancária, ele pode alterá-la para o dinheiro cair em uma conta ilegais.O vírus consegue sobrepor a janela real do banco com uma tela falsa idêntica, induzindo o usuário a digitar códigos de autenticação (tokens). Em paralelo, os criminosos assumem o controle do mouse e teclado em segundo plano para efetuar transações ilícitas.Como se proteger?A Fortinet recomenda que as pessoas sempre desconfiem de emails com anexos para download. Bancos, instituições financeiras e agências governamentais não enviam documentos do dia para a noite e sem uma solicitação. Pense duas vezes antes de realizar o download desses arquivos.Documentos que dizem estar corrompidos ou necessitam de atualização geralmente são falsos. Nunca acesse portais de finanças ou de impostos clicando em links vindos de anexos de e-mails. Digite sempre o endereço oficial diretamente no seu navegador.Por falar em problemas de segurança, uma falha crítica em um sistema corporativo da Oracle expôs mais de 900 empresas que usam essa tecnologia. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.