// CLUBIC — CYBERSECURITY
Ce faux PDF cache Ousaban, un dangereux cheval de Troie bancaire qui frappe l’Espagne et le Portugal
Fortinet a repéré une campagne de phishing en mai 2026. Des pirates envoient un faux PDF aux clients bancaires d’Espagne et du Portugal pour installer Ousaban, un cheval de Troie brésilien caché dans une image. Une fois Ousaban actif, les attaquants captent les frappes et les écrans de la victime, puis détournent ses sessions bancaires.
Rachael Liao est chercheuse chez FortiGuard Labs, la division de recherche de Fortinet. Dans son rapport technique consacré à cette campagne publié hier, elle explique que les pirates envoient un e-mail aux utilisateurs de Windows qui se connectent à des services bancaires en Espagne et au Portugal. Pour tromper la victime, les auteurs de la campagne conçoivent ce PDF comme un fichier corrompu, avec un bouton « Atualizar », « Mettre à jour » en portugais. La victime clique sur ce bouton et ouvre une page qui ressemble à un portail fiscal ou à un site de téléchargement de logiciels. Dans certains cas, les auteurs programment aussi un script caché dans le PDF pour déclencher cette ouverture sans action de la victime. Fortinet recense une vingtaine de banques concernées en Espagne et au Portugal, notamment Banco Santander, BBVA, CaixaBank, Bankinter et Caixa Geral de Depósitos.
Dans une version antérieure de cette page, les pirates vérifiaient l’adresse IP, la langue et le fuseau horaire du visiteur directement dans le navigateur, puis bloquaient les connexions passées par un VPN. Désormais, les chercheurs de FortiGuard Labs pensent que ce contrôle a lieu sur le serveur plutôt que dans le navigateur, et identifient donc moins facilement les critères exacts du filtrage. Les visiteurs situés hors d’Espagne et du Portugal reçoivent uniquement un message en espagnol qui refuse l’accès au service.
Rachael Liao précise dans le rapport de FortiGuard Labs qu’en cas d’échec du contrôle, les pirates affichent un message d’erreur dans un cas sur deux, et déclenchent le téléchargement du faux fichier dans l’autre cas, sur une version antérieure de la page.
Une fois le contrôle réussi, les pirates font télécharger une image qui ressemble à une icône de PDF, mais qui contient un fichier ZIP dissimulé, soit la technique de la stéganographie. Fortinet relève que les auteurs programment Ousaban pour extraire l’archive, exécuter le programme, puis s’auto-supprimer avec l’image et le fichier ZIP, afin de réduire les traces.
Les pirates programment aussi Ousaban pour ajouter une entrée nommée Financeiro, « finance » dans le registre Windows et démarrer avec chaque session.
Lorsqu'’Ousaban est actif sur l’ordinateur, les opérateurs surveillent les sites visités par la victime et déclenchent une capture d’écran dès qu’une banque concernée apparaît. Les attaquants récupèrent ensuite des captures d'écran et des frappes de clavier, modifient le contenu du presse-papiers, affichent de faux messages, et prennent le contrôle à distance de la machine.
Les pirates changent le serveur de commande d’Ousaban chaque jour, à partir d’une date récupérée sur une page Google et combinée avec une clé fixe pour produire un nouveau nom de domaine. Les opérateurs publient aussi un lien Pastebin qui pointe vers une autre adresse, dans le but de détourner l’attention des chercheurs, selon Fortinet.
Ousaban est issu d'une longue lignée. Il se fait aussi appeler Javali dans d’autres rapports de sécurité. Kaspersky a regroupé cette famille de chevaux de Troie brésiliens et l’a baptisée Tetrade, aux côtés de Grandoreiro et de Guildma, il y a plusieurs années. Les analystes intègrent aussi Melcoz à ce groupe régional. Interpol a démantelé un réseau lié à Grandoreiro en janvier 2024, et les opérateurs ont relancé le cheval de Troie quelques mois plus tard. Nous vous rapportions alors que plus de 1 500 banques étaient concernées dans une soixantaine de pays. Les auteurs d'Ousaban reprennent, pour le chiffrement des chaînes de caractères, le même schéma que Casbaneiro, une autre famille de maliciel brésilienne.
Les analystes peinent à auto