В мае 2026 года специалисты FortiGuard Labs компании Fortinet зафиксировали активную кампанию банковского трояна Ousaban, известного также под именем Javali. Вредонос прицельно атакует пользователей Windows в Испании и Португалии, конкретно тех, кто работает с онлайн-банкингом в таких организациях, как Banco Santander, BBVA, CaixaBank, Bankinter и Caixa Geral de Depósitos. Всего в прицеле более двух десятков банков с обеих стран.
Ousaban входит в группу бразильских банковских троянов, которую Kaspersky обозначил термином «Tetrade». В неё помимо Ousaban входят Grandoreiro, Guildma и Melcoz. Все четыре семейства зародились в Бразилии, а потом перебрались на Иберийский полуостров. Они активно заимствуют код друг у друга: например, схема шифрования строк в Ousaban та же самая, что используется в другом родственном трояне — Casbaneiro.
Атака начинается с фишингового PDF, замаскированного под повреждённый файл. Жертве показывают предложение нажать кнопку «Atualizar» (по-португальски — «Обновить»), после чего открывается вредоносная страница. При этом скрытый JavaScript внутри PDF способен открыть ту же страницу и автоматически, даже без клика пользователя.
Попав на вредоносную страницу, которая притворяется порталом налоговых документов и установщиков ПО, система сначала проверяет посетителя. Ранние версии делали это прямо в браузере: анализировали IP-адрес, языковые настройки, часовой пояс, наличие VPN, а заодно отсеивали по размеру экрана и установленным шрифтам, чтобы отфильтровать песочницы безопасников. Текущая версия перенесла всю проверку на серверную сторону, скрыв логику фильтрации от исследователей. Тем, кто не из Испании и не из Португалии, вместо вредоноса показывают испаноязычное сообщение об отказе в доступе.
Прошедший фильтр пользователь получает загрузку, которую скрипт вытаскивает из файла-изображения с иконкой PDF. Внутри этого изображения спрятан ZIP-архив — это стеганография. Из архива извлекается и запускается Ousaban, после чего скрипт удаляет и картинку, и ZIP, и себя самого, сводя к минимуму следы на диске.
Для закрепления в системе троян прописывает запись в реестре Windows с именем «Financeiro» (по-португальски — «финансовый»), файлы при этом сбрасываются в директорию C:\SysMain_5874288. После каждой перезагрузки Windows сам запускает вредонос.
Инфраструктура управления выстроена хитро. В коде трояна зашита ссылка на Pastebin, ведущая на сервер-приманку. Реальный управляющий сервер меняется каждый день: малварь читает текущую дату с одной из страниц Google, комбинирует её с зашитым в коде секретом и вычисляет адрес настоящего C2. В более ранних кампаниях конфигурация пряталась в Google Docs. Блокировка вчерашнего адреса ничего не даёт из-за ежедневной ротации.
Оказавшись на машине, Ousaban ждёт, пока жертва откроет банковский сайт, и тогда начинает работать: снимает скриншоты активных сессий, пишет нажатия клавиш, подменяет содержимое буфера обмена, показывает поддельные всплывающие окна и открывает злоумышленнику полный удалённый доступ к компьютеру. Конечная цель — перехватить живую банковскую сессию и угнать учётную запись.
Параллельно Fortinet связывает инфраструктуру Ousaban конца 2025 года с техникой ClickFix. Это схема, при которой жертву убеждают самостоятельно вставить вредоносную команду в терминал или строку запуска, представляя это как исправление некой ошибки. Использовалась как альтернативная точка входа для той же малвари.
Из семейства Tetrade наиболее известен Grandoreiro. В январе 2024 года его инфраструктуру разгромила скоординированная операция Интерпола, однако уже через несколько месяцев троян вернулся к работе. В 2026 году кампании Grandoreiro продолжают бить по португальским банкам с использованием тех же приёмов: PDF-приманок и геозонирования.
Серверная фильтрация создаёт серьёзную проблему для автоматических средств защиты: песочница, которая пытается проанализировать ссылку, скорее всего получит лишь испанскую страницу с отказом, а не сам вредонос. Детектирование только на уровне шлюза здесь может не сработать. FortiGuard Antivirus определяет образцы малвари, FortiMail блокирует фишинговые письма, а в отчёте Fortinet опубликованы конкретные домены, IP-адреса и хэши файлов для внесения в списки блокировок.
Для рядового пользователя маркеры опасности прямолинейны: любой PDF, который утверждает, что файл повреждён и просит нажать кнопку обновления, — это атака. Любая инструкция вставить команду в терминал ради «исправления ошибки» — тоже атака. Неожиданные вложения с налоговыми документами или счетами-фактурами, особенно если PDF сам открывает браузер, требуют немедленного закрытия без каких-либо действий.
Ousaban входит в группу бразильских банковских троянов, которую Kaspersky обозначил термином «Tetrade». В неё помимо Ousaban входят Grandoreiro, Guildma и Melcoz. Все четыре семейства зародились в Бразилии, а потом перебрались на Иберийский полуостров. Они активно заимствуют код друг у друга: например, схема шифрования строк в Ousaban та же самая, что используется в другом родственном трояне — Casbaneiro.
Атака начинается с фишингового PDF, замаскированного под повреждённый файл. Жертве показывают предложение нажать кнопку «Atualizar» (по-португальски — «Обновить»), после чего открывается вредоносная страница. При этом скрытый JavaScript внутри PDF способен открыть ту же страницу и автоматически, даже без клика пользователя.
Попав на вредоносную страницу, которая притворяется порталом налоговых документов и установщиков ПО, система сначала проверяет посетителя. Ранние версии делали это прямо в браузере: анализировали IP-адрес, языковые настройки, часовой пояс, наличие VPN, а заодно отсеивали по размеру экрана и установленным шрифтам, чтобы отфильтровать песочницы безопасников. Текущая версия перенесла всю проверку на серверную сторону, скрыв логику фильтрации от исследователей. Тем, кто не из Испании и не из Португалии, вместо вредоноса показывают испаноязычное сообщение об отказе в доступе.
Прошедший фильтр пользователь получает загрузку, которую скрипт вытаскивает из файла-изображения с иконкой PDF. Внутри этого изображения спрятан ZIP-архив — это стеганография. Из архива извлекается и запускается Ousaban, после чего скрипт удаляет и картинку, и ZIP, и себя самого, сводя к минимуму следы на диске.
Для закрепления в системе троян прописывает запись в реестре Windows с именем «Financeiro» (по-португальски — «финансовый»), файлы при этом сбрасываются в директорию C:\SysMain_5874288. После каждой перезагрузки Windows сам запускает вредонос.
Инфраструктура управления выстроена хитро. В коде трояна зашита ссылка на Pastebin, ведущая на сервер-приманку. Реальный управляющий сервер меняется каждый день: малварь читает текущую дату с одной из страниц Google, комбинирует её с зашитым в коде секретом и вычисляет адрес настоящего C2. В более ранних кампаниях конфигурация пряталась в Google Docs. Блокировка вчерашнего адреса ничего не даёт из-за ежедневной ротации.
Оказавшись на машине, Ousaban ждёт, пока жертва откроет банковский сайт, и тогда начинает работать: снимает скриншоты активных сессий, пишет нажатия клавиш, подменяет содержимое буфера обмена, показывает поддельные всплывающие окна и открывает злоумышленнику полный удалённый доступ к компьютеру. Конечная цель — перехватить живую банковскую сессию и угнать учётную запись.
Параллельно Fortinet связывает инфраструктуру Ousaban конца 2025 года с техникой ClickFix. Это схема, при которой жертву убеждают самостоятельно вставить вредоносную команду в терминал или строку запуска, представляя это как исправление некой ошибки. Использовалась как альтернативная точка входа для той же малвари.
Из семейства Tetrade наиболее известен Grandoreiro. В январе 2024 года его инфраструктуру разгромила скоординированная операция Интерпола, однако уже через несколько месяцев троян вернулся к работе. В 2026 году кампании Grandoreiro продолжают бить по португальским банкам с использованием тех же приёмов: PDF-приманок и геозонирования.
Серверная фильтрация создаёт серьёзную проблему для автоматических средств защиты: песочница, которая пытается проанализировать ссылку, скорее всего получит лишь испанскую страницу с отказом, а не сам вредонос. Детектирование только на уровне шлюза здесь может не сработать. FortiGuard Antivirus определяет образцы малвари, FortiMail блокирует фишинговые письма, а в отчёте Fortinet опубликованы конкретные домены, IP-адреса и хэши файлов для внесения в списки блокировок.
Для рядового пользователя маркеры опасности прямолинейны: любой PDF, который утверждает, что файл повреждён и просит нажать кнопку обновления, — это атака. Любая инструкция вставить команду в терминал ради «исправления ошибки» — тоже атака. Неожиданные вложения с налоговыми документами или счетами-фактурами, особенно если PDF сам открывает браузер, требуют немедленного закрытия без каких-либо действий.