Back to Blog

โทรจัน Ousaban หลอกผู้ใช้ธนาคารในสเปนและโปรตุเกสด้วยไฟล์ PDF ปลอม

Ousaban โทรจันธนาคารจากบราซิลกำลังโจมตีผู้ใช้ Windows ในสเปนและโปรตุเกส ใช้ฟิชชิ่งและซ่อนเพย์โหลดในรูปภาพเพื่อขโมยข้อมูลธนาคาร

Sales
1 min read
โทรจัน Ousaban หลอกผู้ใช้ธนาคารในสเปนและโปรตุเกสด้วยไฟล์ PDF ปลอม

นักวิจัยด้านความปลอดภัยจาก Fortinet FortiGuard Labs เปิดเผยถึงแคมเปญมัลแวร์ที่กำหนดเป้าหมายผู้ใช้ระบบปฏิบัติการ Windows ในประเทศสเปนและโปรตุเกส โดยใช้โทรจันธนาคารที่เรียกว่า Ousaban ซึ่งเริ่มตรวจจับได้ในเดือนพฤษภาคม 2569 วิธีการโจมตีเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งที่แนบไฟล์ PDF ปลอมที่ถูกออกแบบมาให้ดูเหมือนไฟล์เสียหาย.

เมื่อผู้ใช้เปิดไฟล์ PDF มัลแวร์จะตรวจสอบว่าผู้ใช้อยู่ในประเทศเป้าหมายหรือไม่ จากนั้นจะซ่อนเพย์โหลดจริงไว้ภายในรูปภาพ ซึ่งเป็นเทคนิคที่ช่วยหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย โดยเป้าหมายสูงสุดของโทรจันนี้คือการขโมยข้อมูลล็อกอินธนาคารของผู้ใช้.



กลไกการทำงานของ Ousaban


แคมเปญนี้เริ่มต้นด้วยการที่เหยื่อได้รับอีเมลฟิชชิ่งที่มีไฟล์ PDF แนบมา ซึ่งเมื่อเปิดดูจะแสดงข้อความว่าไฟล์เสียหาย แต่จริงๆ แล้วไฟล์นี้มีสคริปต์ที่ตรวจสอบตำแหน่งทางภูมิศาสตร์ของเหยื่อ หากผู้ใช้ไม่ได้อยู่ในสเปนหรือโปรตุเกส มัลแวร์จะหยุดทำงานทันทีเพื่อไม่ให้ถูกตรวจพบ จากนั้นเมื่อระบบตรวจสอบว่าผู้ใช้อยู่ในพื้นที่เป้าหมาย โทรจันจะดาวน์โหลดเพย์โหลดที่ซ่อนอยู่ในรูปภาพและติดตั้งลงในเครื่องเหยื่อ.



เทคนิคการซ่อนเพย์โหลดในรูปภาพ


Ousaban ใช้วิธีซ่อนโค้ดที่เป็นอันตรายภายในไฟล์ภาพโดยใช้เทคนิคที่เรียกว่า steganography ซึ่งช่วยให้มัลแวร์หลบเลี่ยงการตรวจจับโดยซอฟต์แวร์แอนติไวรัสทั่วไปได้เป็นอย่างดี เนื่องจากไฟล์ภาพมักถูกมองว่าไม่เป็นอันตราย เมื่อเพย์โหลดถูกถอดรหัสออกมา โทรจันจะเชื่อมต่อไปยังเซิร์ฟเวอร์ควบคุมเพื่อรับคำสั่งและดำเนินการขโมยข้อมูลธนาคาร.



เป้าหมายคือข้อมูลธนาคารของผู้ใช้


เป้าหมายหลักของโทรจัน Ousaban คือการขโมยข้อมูลล็อกอินธนาคารของผู้ใช้ในสเปนและโปรตุเกส ซึ่งอาจนำไปสู่การสูญเสียทางการเงินอย่างร้ายแรง ผู้ใช้ธนาคารในพื้นที่ดังกล่าวจึงควรเพิ่มความระมัดระวังเป็นพิเศษเมื่อได้รับอีเมลที่ไม่ทราบแหล่งที่มา โดยเฉพาะอย่างยิ่งไฟล์ PDF ที่แจ้งว่าเสียหายหรือมีรูปแบบผิดปกติ.



แนวทางป้องกันจากภัยคุกคามนี้


เพื่อป้องกันตนเองจากโทรจัน Ousaban และมัลแวร์ประเภทเดียวกัน ผู้ใช้ควรตรวจสอบความน่าเชื่อถือของอีเมลก่อนเปิดไฟล์แนบทุกครั้ง และควรใช้ซอฟต์แวร์รักษาความปลอดภัยที่อัปเดตอยู่เสมอ รวมถึงเปิดใช้งานระบบป้องกันฟิชชิ่งบนเบราว์เซอร์ นอกจากนี้หากพบอีเมลที่น่าสงสัย ควรลบทิ้งทันทีและแจ้งให้ทีมรักษาความปลอดภัยขององค์กรทราบ.



Reference


The Hacker News

หากสนใจโซลูชันความปลอดภัยไซเบอร์หรือบริการจัดการระบบไอที

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE
ดูสินค้าทั้งหมด