Cảnh báo: Trojan ngân hàng Ousaban nhắm vào người dùng tại Tây Ban Nha và Bồ Đào Nha qua file PDF giả mạo
Các nhà nghiên cứu tại FortiGuard Labs vừa phát hiện chiến dịch tấn công mới của trojan ngân hàng Ousaban, sử dụng kỹ thuật lừa đảo qua PDF để chiếm đoạt tài khoản người dùng tại khu vực bán đảo...
Một chiến dịch phát tán mã độc ngân hàng (banking trojan) có tên Ousaban đang nhắm mục tiêu vào người dùng Windows tại Tây Ban Nha và Bồ Đào Nha. Theo báo cáo từ FortiGuard Labs của Fortinet vào tháng 5/2026, chiến dịch này sử dụng các tệp PDF giả mạo lỗi định dạng để dẫn dụ nạn nhân.
Table Of Content
Phương thức tấn công tinh vi
Kẻ tấn công gửi các tệp PDF chứa thông báo yêu cầu người dùng nhấn vào nút “Atualizar” (Cập nhật) để sửa lỗi file. Khi thực hiện, nạn nhân sẽ bị điều hướng đến một trang web độc hại. Trang web này đóng vai trò là cổng thông tin giả mạo về tài liệu thuế hoặc trình cài đặt phần mềm.
Điểm đáng chú ý là cơ chế kiểm soát truy cập (geofencing) chặt chẽ. Thay vì thực hiện kiểm tra trực tiếp trên trình duyệt như các phiên bản cũ, phiên bản Ousaban hiện tại chuyển việc sàng lọc sang server của kẻ tấn công. Nếu phát hiện người dùng không nằm trong khu vực Tây Ban Nha hoặc Bồ Đào Nha, hệ thống sẽ hiển thị thông báo “từ chối truy cập” thay vì tải xuống mã độc. Điều này giúp kẻ tấn công tránh bị các hệ thống sandbox tự động phát hiện.
Cơ chế lây nhiễm và ẩn mình
Sau khi vượt qua các bước kiểm tra, mã độc sẽ được tải xuống thông qua kỹ thuật steganography (giấu dữ liệu trong ảnh). Một tệp tin hình ảnh có biểu tượng PDF thực chất chứa một tệp ZIP bên trong. Sau khi giải nén và thực thi Ousaban, mã độc sẽ tự động xóa các dấu vết để tránh bị phát hiện. Để duy trì sự hiện diện, nó tạo một mục trong Windows Registry với tên “Financeiro” nhằm tự động khởi chạy cùng hệ thống.
Ousaban hoạt động như một công cụ gián điệp ngân hàng toàn diện: có khả năng chụp ảnh màn hình, ghi lại thao tác bàn phím (keylogging), can thiệp vào clipboard và hiển thị các thông báo giả mạo để chiếm quyền điều khiển phiên giao dịch trực tuyến của nạn nhân. Các ngân hàng lớn như Banco Santander, BBVA, CaixaBank và Bankinter nằm trong danh sách mục tiêu của nhóm này.
Khuyến nghị bảo mật
Các chuyên gia an ninh mạng khuyến cáo người dùng cần hết sức cảnh giác với các tệp đính kèm PDF hoặc email thông báo lỗi file bất thường. Đặc biệt, tuyệt đối không làm theo các hướng dẫn yêu cầu dán (paste) lệnh vào terminal hoặc trình duyệt để “sửa lỗi”.
Đối với các tổ chức, cần lưu ý rằng các công cụ quét tự động có thể bỏ lỡ mã độc này do cơ chế kiểm tra vị trí địa lý của server kẻ tấn công. Việc giám sát các khóa Registry bất thường (như Financeiro) và các tệp tin lạ trong thư mục hệ thống là biện pháp cần thiết để phát hiện sớm sự xâm nhập.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.