A FortiGuard Labs, centro de intelligence e research da Fortinet, identificou uma campanha ativa do trojan bancário Ousaban concebida para infetar computadores de clientes de várias instituições bancárias em Portugal e Espanha.

A operação criminosa recorre a esquemas de mensagens fraudulentas e a mecanismos estritos de isolamento geográfico de rede para intercetar credenciais financeiras na Península Ibérica.
O código malicioso, com origem documentada na América Latina, utiliza técnicas de esteganografia para ocultar o seu código digital dentro de ficheiros de imagem e contornar defesas antivírus de análise estática.
Mecanismo de intrusão e triagem por isolamento geográfico
A distribuição desta ameaça à banca online ocorre através do envio de correio eletrónico que simula documentos em formato PDF corrompidos. As vítimas recebem instruções para clicar num botão de atualização que as reencaminha para uma página falsa de repositório de software e arquivos fiscais. Esta infraestrutura maliciosa analisa o fuso horário, o idioma e o endereço IP do visitante antes de transferir qualquer código para a máquina.
Os servidores operados pelos criminosos bloqueiam de imediato as ligações com origem fora dos territórios de Portugal e Espanha. Este controlo rigoroso de isolamento geográfico visa impedir a análise forense por parte de laboratórios internacionais de cibersegurança em Portugal ou noutras jurisdições. Quando o alvo cumpre os requisitos territoriais, o sistema descarrega um ficheiro executável em linguagem Visual Basic.
O programa de comando acede depois a uma imagem inocente que oculta um arquivo comprimido com recurso a técnicas de esteganografia. O arquivo descompacta e instala em plano de fundo o trojan bancário Ousaban no computador da vítima. O código malicioso elimina de seguida os indicadores técnicos de infeção no sistema para dificultar investigações forenses digitais posteriores.
Instituições visadas e rotinas avançadas de espionagem
A investigação do centro de intelligence e research da Fortinet – FortiGuard Labs – detetou rotinas programadas especificamente para atacar clientes de grandes entidades do sistema financeiro português e espanhol. A lista confirmada de alvos em Portugal abrange utilizadores das plataformas digitais do Millennium BCP, da Caixa Geral de Depósitos, do Novo Banco e do Banco BPI, ao lado de várias instituições bancárias espanholas
O software de intrusão concede aos atacantes o controlo remoto integral do computador comprometido com monitorização contínua do teclado e alteração ilícita dos dados na área de transferência do sistema operativo. Os criminosos conseguem recolher capturas de ecrã e projetar janelas de aviso sobrepostas para persuadir os clientes a revelar códigos bancários de autorização. As funcionalidades visam consumar transações financeiras fraudulentas em tempo real a partir do próprio dispositivo fidedigno da vítima.
As comunicações cifradas entre a máquina infetada e a infraestrutura de controlo recorrem a metodologias de cifra observadas em redes cibercriminosas da América Latina. Os servidores de comando alteram os seus domínios de internet todos os dias com auxílio de algoritmos de geração dinâmica. Esta rotação diária cria barreiras adicionais às equipas focadas em reforçar a cibersegurança em Portugal e impede o bloqueio eficaz por listas defensivas convencionais.
Guia prático para defesa contra o roubo de credenciais bancárias
A neutralização eficaz dos ataques de burla informática exige a adoção proativa de defesas comportamentais nos postos de trabalho e o bloqueio de domínios dinâmicos. As empresas e os cidadãos precisam de reforçar os seus mecanismos de deteção precoce para impedir a execução de instruções maliciosas antes da intercepção de dados bancários.
Diretrizes de mitigação corporativa e pessoal
- Bloquear a receção de correio eletrónico externo que contenha anexos em formato PDF com solicitações para atualização de visualizadores de software.
- Implementar soluções de proteção com verificação de reputação de endereços IP em tempo real para impedir o contacto com servidores gerados pelo algoritmo diário do trojan bancário Ousaban.
- Substituir os métodos de autenticação de dois fatores baseados em mensagens de telemóvel por chaves físicas de segurança ou aprovações nativas na aplicação móvel oficial do banco.
- Ativar sistemas de análise comportamental de processos para detetar e interromper a execução sem permissão de ficheiros de instruções nativos nos terminais corporativos.
- Realizar sessões periódicas de sensibilização técnica para instruir os colaboradores sobre táticas modernas de engenharia social focadas na Península Ibérica.
Implicações da expansão transcontinental da criminalidade financeira
A importação desta ferramenta maliciosa, o trojan bancário Ousaban, da América Latina para o ecossistema europeu confirma o grau elevado de maturação e cooperação das redes cibercriminosas. A utilização combinada de esteganografia em imagens digitais e de domínios mutáveis anula a eficácia das defesas perimetrais tradicionais e dos programas antivírus estáticos.
O sucesso na neutralização desta ameaça vai depender de uma partilha ágil de indicadores de compromisso entre as entidades bancárias nacionais, as forças policiais e os laboratórios privados de análise forense. Sem a monitorização contínua sobre o tráfego bancário cifrado e o reforço da segurança no terminal, a criminalidade organizada continuará a explorar as vulnerabilidades técnicas dos canais financeiros digitais.
Perguntas Frequentes (FAQ)
O que é o trojan bancário Ousaban?
O trojan bancário Ousaban é uma ferramenta nociva de espionagem digital focada no roubo de credenciais financeiras, originalmente detetada no Brasil e identificada agora na Península Ibérica pela FortiGuard Labs. O programa controla computadores remotamente para intercetar sessões nas plataformas de banca online.
Quais são os bancos visados por este malware em Portugal?
Os analistas de segurança da Fortinet detetaram rotinas no código programadas para atacar clientes das maiores instituições bancárias a operar em Portugal. A lista de alvos confirmados abrange os utilizadores digitais do Millennium BCP, da Caixa Geral de Depósitos, do Novo Banco e do Banco BPI.
Por que razão os antivírus convencionais falham em detetar esta ameaça?
Os antivírus baseados em assinaturas estáticas falham porque o código malicioso esconde-se no interior de imagens digitais inocentes com recurso a técnicas de esteganografia. Em adição, a infraestrutura criminosa altera os seus endereços de servidor diariamente, o que invalida o bloqueio por listas estáticas.
Pontos principais
- A FortiGuard Labs descobriu uma campanha ativa de cibercrime na Península Ibérica focada no roubo de dados bancários de clientes em Espanha e Portugal.
- O ataque aplica um controlo de isolamento geográfico de rede por endereço IP e idioma que restringe a infeção de computadores exclusivamente ao território ibérico.
- O ficheiro executável oculta-se no interior de arquivos de imagem através de esteganografia para contornar investigações analíticas presenciais e automáticas.
- As entidades visadas no sistema financeiro português incluem os utilizadores do Millennium BCP, da Caixa Geral de Depósitos, do Novo Banco e do Banco BPI.
- A defesa corporativa eficaz exige a implementação de verificação comportamental do sistema e o bloqueio proativo de domínios algorítmicos gerados diariamente.
Outros artigos interessantes:



