
Um dos malwares mais conhecidos do submundo do cibercrime brasileiro cruzou o Atlântico. Pesquisadores do FortiGuard Labs, o braço de inteligência de ameaças da Fortinet, identificaram uma nova campanha do Ousaban, trojan bancário derivado da famosa família Casbaneiro, agora reconfigurado para roubar clientes de bancos na Espanha e em Portugal. A operação está ativa desde maio de 2026 e mira instituições como Santander, BBVA, Caixa Geral de Depósitos e até a fintech Revolut.
A mecânica do golpe começa por um e-mail de phishing com um anexo em PDF. Ao abrir o arquivo, a vítima se depara com uma mensagem dizendo que o documento “não pode ser aberto” e um botão que promete resolver o problema. O clique redireciona para um portal malicioso que se passa por um site oficial de impostos do governo — e é aí que entra o truque mais engenhoso da campanha: o servidor faz uma verificação de geolocalização, checando IP, fuso horário e idioma do aparelho. Só quem está fisicamente na Espanha ou em Portugal recebe o malware; os demais são descartados, uma forma de dificultar a análise por pesquisadores de segurança fora da região alvo.

Uma vez instalado, o Ousaban usa esteganografia — a técnica de esconder código dentro de arquivos de imagem — para driblar antivírus. Com o trojan ativo no computador, os criminosos conseguem registrar tudo o que é digitado, capturar credenciais, monitorar a área de transferência, exibir janelas falsas sobrepostas às do banco real e até assumir o controle remoto do mouse e do teclado para realizar transferências sem que a vítima perceba.
Para o leitor brasileiro, o caso é um lembrete de que o país não é só alvo desse tipo de ataque: também é um exportador de ferramentas de cibercrime. Famílias como Casbaneiro, Grandoreiro e Ousaban nasceram aqui e há anos servem de modelo — e de matéria-prima — para golpes financeiros mundo afora. A lição prática é a de sempre e vale para os dois lados do oceano: nenhum banco ou órgão público pede para você “atualizar” um leitor de PDF por e-mail, e todo anexo que insiste em um clique extra para “abrir” merece desconfiança imediata.