Fortinet a repéré une campagne de phishing en mai 2026. Des pirates envoient un faux PDF aux clients bancaires d’Espagne et du Portugal pour installer Ousaban, un cheval de Troie brésilien caché dans une image. Une fois Ousaban actif, les attaquants captent les frappes et les écrans de la victime, puis détournent ses sessions bancaires.

Lorsqu'Ousaban est actif sur l'ordinateur, les opérateurs surveillent les sites visités par la victime et déclenchent une capture d'écran dès qu'une banque concernée apparaît - ©wk1003mike / Shutterstock
Lorsqu'Ousaban est actif sur l'ordinateur, les opérateurs surveillent les sites visités par la victime et déclenchent une capture d'écran dès qu'une banque concernée apparaît - ©wk1003mike / Shutterstock

Rachael Liao est chercheuse chez FortiGuard Labs, la division de recherche de Fortinet. Dans son rapport technique consacré à cette campagne publié hier, elle explique que les pirates envoient un e-mail aux utilisateurs de Windows qui se connectent à des services bancaires en Espagne et au Portugal. Pour tromper la victime, les auteurs de la campagne conçoivent ce PDF comme un fichier corrompu, avec un bouton « Atualizar », « Mettre à jour » en portugais. La victime clique sur ce bouton et ouvre une page qui ressemble à un portail fiscal ou à un site de téléchargement de logiciels. Dans certains cas, les auteurs programment aussi un script caché dans le PDF pour déclencher cette ouverture sans action de la victime. Fortinet recense une vingtaine de banques concernées en Espagne et au Portugal, notamment Banco Santander, BBVA, CaixaBank, Bankinter et Caixa Geral de Depósitos.

Les pirates trient les visiteurs par pays avant de livrer le fichier piégé

Dans une version antérieure de cette page, les pirates vérifiaient l’adresse IP, la langue et le fuseau horaire du visiteur directement dans le navigateur, puis bloquaient les connexions passées par un VPN. Désormais, les chercheurs de FortiGuard Labs pensent que ce contrôle a lieu sur le serveur plutôt que dans le navigateur, et identifient donc moins facilement les critères exacts du filtrage. Les visiteurs situés hors d’Espagne et du Portugal reçoivent uniquement un message en espagnol qui refuse l’accès au service.

Rachael Liao précise dans le rapport de FortiGuard Labs qu’en cas d’échec du contrôle, les pirates affichent un message d’erreur dans un cas sur deux, et déclenchent le téléchargement du faux fichier dans l’autre cas, sur une version antérieure de la page.

Ousaban est issu d'une longue lignée. Il se fait aussi appeler Javali dans d'autres rapports de sécurité - ©Alexander Limbach / Shutterstock
Ousaban est issu d'une longue lignée. Il se fait aussi appeler Javali dans d'autres rapports de sécurité - ©Alexander Limbach / Shutterstock

Les pirates dissimulent Ousaban dans une image pour l’installer sur l’ordinateur

Une fois le contrôle réussi, les pirates font télécharger une image qui ressemble à une icône de PDF, mais qui contient un fichier ZIP dissimulé, soit la technique de la stéganographie. Fortinet relève que les auteurs programment Ousaban pour extraire l’archive, exécuter le programme, puis s’auto-supprimer avec l’image et le fichier ZIP, afin de réduire les traces.

Les pirates programment aussi Ousaban pour ajouter une entrée nommée Financeiro, « finance » dans le registre Windows et démarrer avec chaque session.

Lorsqu'’Ousaban est actif sur l’ordinateur, les opérateurs surveillent les sites visités par la victime et déclenchent une capture d’écran dès qu’une banque concernée apparaît. Les attaquants récupèrent ensuite des captures d'écran et des frappes de clavier, modifient le contenu du presse-papiers, affichent de faux messages, et prennent le contrôle à distance de la machine.

Les pirates changent le serveur de commande d’Ousaban chaque jour, à partir d’une date récupérée sur une page Google et combinée avec une clé fixe pour produire un nouveau nom de domaine. Les opérateurs publient aussi un lien Pastebin qui pointe vers une autre adresse, dans le but de détourner l’attention des chercheurs, selon Fortinet.

Ousaban est issu d'une longue lignée. Il se fait aussi appeler Javali dans d’autres rapports de sécurité. Kaspersky a regroupé cette famille de chevaux de Troie brésiliens et l’a baptisée Tetrade, aux côtés de Grandoreiro et de Guildma, il y a plusieurs années. Les analystes intègrent aussi Melcoz à ce groupe régional. Interpol a démantelé un réseau lié à Grandoreiro en janvier 2024, et les opérateurs ont relancé le cheval de Troie quelques mois plus tard. Nous vous rapportions alors que plus de 1 500 banques étaient concernées dans une soixantaine de pays. Les auteurs d'Ousaban reprennent, pour le chiffrement des chaînes de caractères, le même schéma que Casbaneiro, une autre famille de maliciel brésilienne.

Les analystes peinent à automatiser la détection de ce dispositif de filtrage. Avec un bac à sable limité à l’ouverture du lien, les chercheurs obtiennent souvent la page d’erreur en espagnol plutôt que le cheval de Troie, puisque les pirates programment le filtrage pour vérifier des signaux propres à un vrai visiteur humain. Les antivirus de Fortinet détectent déjà les échantillons de cette campagne, selon l’éditeur, et FortiMail identifie l’e-mail de phishing associé.

Même si vous n’êtes pas géographiquement concerné par Ousaban ou pas client de ces banques, il n’est jamais trop tard pour vérifier la mise à jour de votre antivirus, dont nous vous avons fait un comparatif des meilleurs.

Les équipes de sécurité peuvent aussi surveiller la clé de registre Financeiro et le dossier C:\SysMain_5874288, deux traces laissées par Ousaban selon la liste d’indicateurs publiée par Fortinet.

Source : The Next Web
À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services