สรุปสั้น

แคมเปญที่เพิ่งถูกบันทึกไว้ใหม่กำลังลอบยึดเซสชันธนาคารออนไลน์ทั่วสเปนและโปรตุเกส โดยเริ่มต้นจากสิ่งที่ธรรมดาอย่างไฟล์ PDF ที่เสียหาย มัลแวร์ที่อยู่เบื้องหลังชื่อ Ousaban ได้กลับมาอีกครั้งพร้อมชุดเทคนิคใหม่ที่พุ่งเป้าไปที่ลูกค้าธนาคารในคาบสมุทรไอบีเรียที่ใช้เครื่อง Windows การติดมัลแวร์เริ่มเมื่อเหยื่อเปิด PDF ฟิชชิงที่อ้างว่าไฟล์เสียหาย และกระตุ้นให้ผู้อ่านกดปุ่ม “Atualizar” หรือ Update ซึ่งจะแอบเปิดหน้าเว็บอันตรายที่ปลอมเป็นพอร์ทัลภาษีของรัฐบาล จากนั้นหน้าเว็บจะตรวจสอบว่าผู้เข้าชมอยู่ในสเปนหรือโปรตุเกสจริงหรือไม่ก่อนโจมตีต่อ

นักวิจัยจาก FortiGuard Labs ของบริษัท Fortinet ตรวจพบ Ousaban ระลอกนี้ครั้งแรกในเดือนพฤษภาคม 2026 และเผยแพร่รายละเอียดวิธีการทำงาน โดยระบุว่าแคมเปญนี้อาศัย geofencing เพย์โหลดที่ซ่อนไว้ และโครงสร้างพื้นฐานที่เปลี่ยนแปลงตลอดเวลาเพื่อหนีเครื่องมือความปลอดภัย เมื่อเป้าหมายผ่านการตรวจสอบตำแหน่ง หน้าเว็บจะส่งสคริปต์ที่ดาวน์โหลดไฟล์ภาพซึ่งทำให้ดูเหมือนไอคอน PDF ไร้พิษภัย แต่ภายในภาพนั้นซ่อนไฟล์ ZIP ที่บรรจุเพย์โหลด Ousaban จริงไว้ ซึ่งเป็นเทคนิคที่เรียกว่า steganography จากนั้นมัลแวร์จะลบร่องรอยการติดตั้งของตัวเองเพื่อให้ยากต่อการตรวจสอบภายหลัง

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 กรกฎาคม พ.ศ. 2569 ว่ามัลแวร์ Ousaban ซึ่งเป็นแบงกิงโทรจันในตระกูลบราซิล ได้กลับมาอีกครั้งด้วยเทคนิคใหม่ที่พุ่งเป้าไปที่ลูกค้าธนาคารในสเปนและโปรตุเกส Ousaban จัดอยู่ในตระกูลโทรจันธนาคารบราซิลที่รู้จักกันดี บางครั้งถูกจัดกลุ่มร่วมกับ Grandoreiro, Guildma และ Melcoz ภายใต้ชื่อเล่น “Tetrade” สิ่งที่เปลี่ยนไปคือเปลือกหุ้มรอบตัวมัน ที่ถูกสร้างขึ้นมาเฉพาะเพื่อเข้าถึงเหยื่อจริงในสองประเทศ ขณะที่ยังคงล่องหนจากนักวิจัยและเครื่องสแกนอัตโนมัติที่อื่น

นักวิจัยจาก FortiGuard Labs ของบริษัท Fortinet ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าลูกโซ่การโจมตีอาศัย PDF ปลอมและตัวดาวน์โหลดสไตล์ VBS ทำงานร่วมกัน แทนที่จะเป็นไฟล์อันตรายเพียงไฟล์เดียว โดย JavaScript ที่ซ่อนอยู่ภายใน PDF ฟิชชิงสามารถเปิดหน้าเว็บอันตรายได้โดยอัตโนมัติ ดังนั้นแม้แต่การคลิกอย่างระมัดระวังก็ไม่ได้เป็นเงื่อนไขที่จำเป็นเสมอไป

หน้าเว็บดังกล่าวจะตรวจสอบ IP address ภาษาของเบราว์เซอร์ และเขตเวลา พร้อมทั้งบล็อกผู้ที่เชื่อมต่อผ่าน VPN Fortinet ตั้งข้อสังเกตว่าเวอร์ชันก่อนหน้าของการคัดกรองนี้ทำงานในเบราว์เซอร์โดยตรง แต่ภายหลังผู้ปฏิบัติการย้ายไปทำที่เซิร์ฟเวอร์ของตนเอง เพื่อให้กฎเกณฑ์ที่แท้จริงยังคงถูกซ่อนจากนักวิเคราะห์ ผู้เข้าชมที่ไม่ผ่านการตรวจสอบจะเห็นเพียงข้อความ “access denied” ภาษาสเปน ส่วนผู้ที่ผ่านจะได้รับภาพ steganographic และเพย์โหลด Ousaban ในที่สุด ซึ่งจะติดตั้งอย่างเงียบ ๆ และตั้งค่าการฝังตัวถาวรผ่าน registry entry ชื่อ “Financeiro” (คำโปรตุเกสที่แปลว่าการเงิน)

Ousaban banking malware phishing PDF and VBS downloader campaign
Ousaban banking malware phishing PDF and VBS downloader campaign
Ousaban banking malware phishing PDF and VBS downloader campaign

วิธีการโจมตี

เมื่อติดตั้งแล้ว Ousaban จะอยู่นิ่งเฉยจนกว่าเหยื่อจะเปิดเว็บไซต์ธนาคารเป้าหมายมากกว่าสองโหล รวมถึง Santander, BBVA, CaixaBank, Bankinter และ Caixa Geral de Depósitos เมื่อถึงจุดนั้น มันสามารถจับภาพหน้าจอ บันทึกการกดแป้นพิมพ์ (keylogging) ดัดแปลงคลิปบอร์ด และแสดงหน้าจอธนาคารปลอมเพื่อหลอกให้ผู้ใช้กรอกข้อมูลล็อกอิน

โครงสร้างการสั่งการและควบคุม (C2) ถูกออกแบบมาเพื่อหลบเลี่ยงความพยายามในการปิดกั้น ลิงก์ Pastebin ที่ฝังอยู่ในมัลแวร์ชี้ไปยังสิ่งที่ดูเหมือนที่อยู่เซิร์ฟเวอร์ แต่ Fortinet ยืนยันว่านี่เป็นตัวลวง (decoy) ที่นำไปสู่ทางตัน ที่อยู่จริงจะเปลี่ยนทุกวัน สร้างจากค่าแฮชของวันที่ปัจจุบันที่ดึงมาจากหน้า error ของ Google ทำให้การบล็อกโดเมนของเมื่อวานไร้ประโยชน์

ที่น่าสังเกตคือ PDF หรืออีเมลใด ๆ ที่อ้างว่าไฟล์เสียหายและขอให้ผู้อ่านกด Update ควรถูกมองว่าเป็นภัยคุกคาม เช่นเดียวกับข้อความที่ขอให้ผู้ใช้วางคำสั่งเพื่อ “แก้ error” ซึ่งเป็นกลวิธีที่เรียกว่า ClickFix ส่วนไฟล์แนบประเภทใบแจ้งหนี้ (invoice), factura หรือเอกสารภาษีที่ไม่คาดคิด ก็สมควรได้รับการตรวจสอบเป็นพิเศษ โดยเฉพาะองค์กรที่มีพนักงานหรือลูกค้าในสเปนและโปรตุเกส

ผลกระทบต่อไทย

แม้ Ousaban จะจับเป้าเฉพาะลูกค้าธนาคารในสเปนและโปรตุเกสด้วย geofencing ที่บล็อกผู้ใช้นอกสองประเทศ แต่เทคนิคที่ใช้ในแคมเปญนี้เป็นสิ่งที่ผู้ดูแลระบบไทยควรเรียนรู้ ทั้งการใช้ PDF ฟิชชิงที่อ้างว่าไฟล์เสียหายเพื่อหลอกกดปุ่ม การซ่อนเพย์โหลดในภาพด้วย steganography และการเปลี่ยนที่อยู่ C2 ทุกวันเพื่อหนีการบล็อก ล้วนเป็นกลวิธีที่กลุ่มโจมตีอื่นสามารถนำมาปรับใช้กับเป้าหมายในไทยได้

โทรจันธนาคารสายบราซิลอย่างตระกูล Tetrade มีประวัติขยายเป้าหมายจากละตินอเมริกาไปยังยุโรปและภูมิภาคอื่น การที่มัลแวร์แสดงหน้าจอธนาคารปลอมและดักจับรหัสผ่านแบบเรียลไทม์ ถือเป็นภัยโดยตรงต่อผู้ใช้ mobile/internet banking ในไทยหากกลุ่มเหล่านี้หันมาสนใจธนาคารไทยในอนาคต

คำแนะนำ

Fortinet เน้นให้จัดการกับเหยื่อล่อที่น่าสงสัยด้วยความระแวงทันที แทนที่จะพึ่งพาการสแกนอัตโนมัติเพียงอย่างเดียว PDF หรืออีเมลที่อ้างว่าไฟล์เสียหายและขอให้กด Update รวมถึงข้อความที่ขอให้วางคำสั่งเพื่อแก้ error (ClickFix) ควรถูกปฏิบัติเสมือนเป็นภัยคุกคาม ส่วนไฟล์แนบประเภทใบแจ้งหนี้หรือเอกสารภาษีที่ไม่คาดคิดควรตรวจสอบเป็นพิเศษ

ทีมความปลอดภัยยังควรเชื่อมโยง (correlate) ล็อกจากเอนด์พอยต์ อีเมล DNS และพร็อกซีเข้าด้วยกัน แทนที่จะเชื่อผลจากแซนด์บ็อกซ์เพียงอย่างเดียว เพราะการคัดกรองฝั่งเซิร์ฟเวอร์ (server-side screening) หมายความว่าเครื่องสแกนอัตโนมัติอาจเห็นเพียงหน้า error ที่ไร้พิษภัยเท่านั้น ทั้งนี้ Fortinet ระบุว่าเอนจินแอนตี้ไวรัสและผลิตภัณฑ์ความปลอดภัยอีเมลของบริษัทสามารถตรวจจับตัวอย่างและข้อความฟิชชิงที่เชื่อมโยงกับแคมเปญนี้ได้แล้ว

แหล่งอ้างอิง