حصان طروادة البنكي “أوسابان” يستهدف مستخدمي البنوك في إيبيريا عبر ملفات PDF مزيفة

كشفت مختبرات FortiGuard التابعة لشركة Fortinet عن حملة خبيثة جديدة يقودها حصان طروادة البنكي البرازيلي المعروف باسم Ousaban، والذي يركز هجماته على مستخدمي البنوك في إسبانيا والبرتغال. الحملة التي رُصدت في مايو 2026 تعتمد على ملفات PDF مزيفة كطُعم أولي، قبل أن تُطلق سلسلة من التقنيات المتقدمة لسرقة بيانات الدخول البنكية والسيطرة على الحسابات.

آلية الهجوم عبر ملفات PDF

تبدأ الهجمة برسالة تصيّد تحتوي على ملف PDF يظهر وكأنه تالف، ويطلب من الضحية الضغط على زر “Atualizar” (تحديث). هذا الإجراء يفتح صفحة ويب خبيثة تتظاهر بأنها بوابة للوثائق الضريبية أو التثبيت، بينما تخفي في الواقع حمولة ضارة. الملف يحتوي على JavaScript مخفي قادر على فتح الصفحة تلقائيًا، مما يزيد من احتمالية إصابة الضحية حتى دون تفاعل مباشر.

النسخ السابقة من الحملة كانت تفحص عنوان الـ IP، اللغة، المنطقة الزمنية، وتمنع الوصول عبر الشبكات الافتراضية (VPN)، إضافة إلى التحقق من تفاصيل مثل حجم الشاشة والخطوط المثبتة. أما النسخة الحالية فقد نقلت هذه الفحوصات إلى الخادم نفسه، مما يجعل قواعد التصفية غير مرئية للباحثين الأمنيين. أي زائر من خارج إسبانيا أو البرتغال يتلقى رسالة رفض وصول باللغة الإسبانية بدلًا من تحميل البرمجية الخبيثة.

تقنيات الإخفاء والاستمرارية

بعد تجاوز الفحص، يبدأ تنزيل صورة تبدو كأيقونة PDF لكنها تخفي ملف ZIP باستخدام تقنية الإخفاء بالصور (Steganography). هذا الملف يحتوي على حصان طروادة Ousaban، الذي يتم تشغيله ثم حذف جميع الآثار (الصورة، الملف المضغوط، والسكريبت) لتقليل فرص الكشف. بمجرد التثبيت، يضيف البرنامج مفتاحًا في سجل النظام باسم Financeiro لضمان التشغيل التلقائي مع بدء تشغيل ويندوز.

أما خادم التحكم والسيطرة (C2) فيستخدم أسلوبًا مراوغًا؛ حيث يعتمد على روابط مخفية في خدمات مثل Pastebin، بينما يتم تغيير العنوان الحقيقي يوميًا وفق صيغة مبنية على التاريخ وسر مشفر. هذا الأسلوب يجعل من الصعب على المدافعين حجب البنية التحتية الخبيثة بشكل فعال.

مجموعة “التتراد” البرازيلية

يُعرف Ousaban أيضًا باسم Javali، وهو جزء من مجموعة حصانات طروادة بنكية برازيلية أطلقت عليها Kaspersky سابقًا اسم “التتراد”، وتشمل أيضًا Grandoreiro وGuildma وMelcoz. هذه العائلات بدأت نشاطها في البرازيل ثم توسعت إلى إسبانيا والبرتغال، مع تبادل الشيفرات والتقنيات فيما بينها. على سبيل المثال، يستخدم Ousaban نفس أسلوب التشفير المخصص الذي اعتمدته عائلة Casbaneiro.

ورغم حملات دولية منسقة مثل عملية Interpol ضد Grandoreiro في يناير 2024، فإن هذه البرمجيات الخبيثة أثبتت قدرتها على العودة بسرعة، مستمرة في استهداف البنوك الإيبيرية مثل Banco Santander وBBVA وCaixaBank وBankinter وCaixa Geral de Depósitos.

إجراءات الحماية الموصى بها

ينصح الخبراء بضرورة التعامل بحذر مع أي ملفات PDF أو رسائل بريدية تدعي أن الملف تالف وتطلب الضغط على زر تحديث، أو تلك التي تطلب من المستخدم لصق أوامر لإصلاح “خطأ” مزعوم. كما يجب اعتبار أي مرفقات غير متوقعة تحمل أسماء مثل “فاتورة” أو “وثيقة ضريبية” مشبوهة، خصوصًا في السياق الإسباني والبرتغالي.

توصي Fortinet بمراقبة مفاتيح التشغيل التلقائي في السجل مثل Financeiro، والملفات التي تُسقط في المسار C:\SysMain_5874288، إضافة إلى حجب النطاقات وعناوين الـ IP التي حددتها في تقريرها. منتجات الشركة مثل FortiGuard Antivirus وFortiMail قادرة على كشف العينات والرسائل التصيدية المرتبطة بالحملة

محمد وهبى
محمد وهبى
المقالات: 1261

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.