Pesquisadores do FortiGuard Labs identificaram uma campanha do Ousaban, vírus bancário com origem ligada ao Brasil, mirando usuários na Espanha e em Portugal desde maio de 2026. A ameaça afeta computadores com Windows e combina phishing, verificação de localização geográfica e arquivos maliciosos escondidos dentro de imagens — uma cadeia de ataque que aposta em parecer rotineira em vez de óbvia.
Como o ataque começa
A campanha parte de um e-mail com um PDF falso. Ao abrir o arquivo, a vítima vê uma mensagem informando que o documento não pode ser exibido corretamente e pedindo que ela clique em "Atualizar" para resolver o problema. O botão leva a uma página maliciosa; em alguns casos, o próprio PDF contém código capaz de abrir essa página sem ação adicional do usuário. A página falsa se passa por um portal de documentos fiscais ou de instaladores, o que aumenta sua credibilidade para quem já está habituado a receber cobranças e documentos oficiais por e-mail.
Por que a campanha filtra Espanha e Portugal
Um dos aspectos mais específicos dessa campanha é o uso de geofencing: antes de entregar o vírus, o site verifica se o acesso vem realmente da Espanha ou de Portugal. Em versões anteriores, essa verificação analisava dados como endereço IP, idioma do sistema, fuso horário, resolução de tela e sinais de uso de VPN ou ambiente automatizado. Na versão mais recente, parte dessas checagens passou a ocorrer no lado do servidor, o que dificulta a análise por ferramentas de segurança e reduz a chance de o material cair em ambientes de teste usados por pesquisadores. Acessos vindos de fora dos dois países normalmente recebem apenas uma mensagem de acesso negado, enquanto usuários dentro do alvo geográfico seguem para a próxima etapa do golpe.
O arquivo escondido dentro da imagem
Depois da verificação de localização, a campanha entrega uma imagem que aparenta ter o ícone de um PDF, mas contém um arquivo ZIP oculto em seu interior — uma técnica conhecida como esteganografia, usada para embutir dados maliciosos dentro de um arquivo aparentemente inofensivo. Uma vez instalado, o Ousaban pode monitorar o que a vítima digita, capturar telas, manipular a área de transferência, exibir mensagens falsas e permitir controle remoto do computador pelos criminosos — um conjunto de capacidades particularmente perigoso quando a vítima acessa sites bancários. Entre as instituições monitoradas pela campanha estão bancos usados na Península Ibérica, como Santander, BBVA, CaixaBank, Bankinter e Caixa Geral de Depósitos.
Como reduzir o risco
Esse tipo de ataque costuma depender de um único clique inicial, o que torna a atenção do usuário a defesa mais eficaz disponível. Vale desconfiar de PDFs que alegam estar corrompidos e pedem uma "atualização", evitar clicar em links recebidos por e-mail para acessar bancos ou portais fiscais e, em vez disso, digitar o endereço oficial diretamente no navegador. Arquivos enviados sem solicitação prévia, mesmo com aparência urgente, merecem cautela redobrada, assim como manter o sistema operacional, o navegador e o antivírus atualizados. Bancos e órgãos oficiais raramente enviam documentos inesperados pedindo que o destinatário clique em um botão para "corrigir" ou "atualizar" algo — quando isso acontece, fechar o arquivo e buscar o canal oficial da instituição é a alternativa mais segura.
O que fica claro com esse caso
O Ousaban usa recursos técnicos sofisticados — geofencing, esteganografia e infraestrutura de servidor que dificulta análise —, mas o ponto de entrada da campanha continua sendo o mesmo de golpes bem mais simples: um e-mail falso, um documento suspeito e um clique feito sem verificação prévia. É justamente nesse primeiro passo que a maior parte das infecções pode ser evitada.