สรุปสั้น
แคมเปญที่เพิ่งถูกบันทึกไว้ใหม่กำลังลอบยึดเซสชันธนาคารออนไลน์ทั่วสเปนและโปรตุเกส โดยเริ่มต้นจากสิ่งที่ธรรมดาอย่างไฟล์ PDF ที่เสียหาย มัลแวร์ที่อยู่เบื้องหลังชื่อ Ousaban ได้กลับมาอีกครั้งพร้อมชุดเทคนิคใหม่ที่พุ่งเป้าไปที่ลูกค้าธนาคารในคาบสมุทรไอบีเรียที่ใช้เครื่อง Windows การติดมัลแวร์เริ่มเมื่อเหยื่อเปิด PDF ฟิชชิงที่อ้างว่าไฟล์เสียหาย และกระตุ้นให้ผู้อ่านกดปุ่ม “Atualizar” หรือ Update ซึ่งจะแอบเปิดหน้าเว็บอันตรายที่ปลอมเป็นพอร์ทัลภาษีของรัฐบาล จากนั้นหน้าเว็บจะตรวจสอบว่าผู้เข้าชมอยู่ในสเปนหรือโปรตุเกสจริงหรือไม่ก่อนโจมตีต่อ
นักวิจัยจาก FortiGuard Labs ของบริษัท Fortinet ตรวจพบ Ousaban ระลอกนี้ครั้งแรกในเดือนพฤษภาคม 2026 และเผยแพร่รายละเอียดวิธีการทำงาน โดยระบุว่าแคมเปญนี้อาศัย geofencing เพย์โหลดที่ซ่อนไว้ และโครงสร้างพื้นฐานที่เปลี่ยนแปลงตลอดเวลาเพื่อหนีเครื่องมือความปลอดภัย เมื่อเป้าหมายผ่านการตรวจสอบตำแหน่ง หน้าเว็บจะส่งสคริปต์ที่ดาวน์โหลดไฟล์ภาพซึ่งทำให้ดูเหมือนไอคอน PDF ไร้พิษภัย แต่ภายในภาพนั้นซ่อนไฟล์ ZIP ที่บรรจุเพย์โหลด Ousaban จริงไว้ ซึ่งเป็นเทคนิคที่เรียกว่า steganography จากนั้นมัลแวร์จะลบร่องรอยการติดตั้งของตัวเองเพื่อให้ยากต่อการตรวจสอบภายหลัง
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 2 กรกฎาคม พ.ศ. 2569 ว่ามัลแวร์ Ousaban ซึ่งเป็นแบงกิงโทรจันในตระกูลบราซิล ได้กลับมาอีกครั้งด้วยเทคนิคใหม่ที่พุ่งเป้าไปที่ลูกค้าธนาคารในสเปนและโปรตุเกส Ousaban จัดอยู่ในตระกูลโทรจันธนาคารบราซิลที่รู้จักกันดี บางครั้งถูกจัดกลุ่มร่วมกับ Grandoreiro, Guildma และ Melcoz ภายใต้ชื่อเล่น “Tetrade” สิ่งที่เปลี่ยนไปคือเปลือกหุ้มรอบตัวมัน ที่ถูกสร้างขึ้นมาเฉพาะเพื่อเข้าถึงเหยื่อจริงในสองประเทศ ขณะที่ยังคงล่องหนจากนักวิจัยและเครื่องสแกนอัตโนมัติที่อื่น
นักวิจัยจาก FortiGuard Labs ของบริษัท Fortinet ระบุในรายงานที่แบ่งปันกับ Cyber Security News ว่าลูกโซ่การโจมตีอาศัย PDF ปลอมและตัวดาวน์โหลดสไตล์ VBS ทำงานร่วมกัน แทนที่จะเป็นไฟล์อันตรายเพียงไฟล์เดียว โดย JavaScript ที่ซ่อนอยู่ภายใน PDF ฟิชชิงสามารถเปิดหน้าเว็บอันตรายได้โดยอัตโนมัติ ดังนั้นแม้แต่การคลิกอย่างระมัดระวังก็ไม่ได้เป็นเงื่อนไขที่จำเป็นเสมอไป
หน้าเว็บดังกล่าวจะตรวจสอบ IP address ภาษาของเบราว์เซอร์ และเขตเวลา พร้อมทั้งบล็อกผู้ที่เชื่อมต่อผ่าน VPN Fortinet ตั้งข้อสังเกตว่าเวอร์ชันก่อนหน้าของการคัดกรองนี้ทำงานในเบราว์เซอร์โดยตรง แต่ภายหลังผู้ปฏิบัติการย้ายไปทำที่เซิร์ฟเวอร์ของตนเอง เพื่อให้กฎเกณฑ์ที่แท้จริงยังคงถูกซ่อนจากนักวิเคราะห์ ผู้เข้าชมที่ไม่ผ่านการตรวจสอบจะเห็นเพียงข้อความ “access denied” ภาษาสเปน ส่วนผู้ที่ผ่านจะได้รับภาพ steganographic และเพย์โหลด Ousaban ในที่สุด ซึ่งจะติดตั้งอย่างเงียบ ๆ และตั้งค่าการฝังตัวถาวรผ่าน registry entry ชื่อ “Financeiro” (คำโปรตุเกสที่แปลว่าการเงิน)



วิธีการโจมตี
เมื่อติดตั้งแล้ว Ousaban จะอยู่นิ่งเฉยจนกว่าเหยื่อจะเปิดเว็บไซต์ธนาคารเป้าหมายมากกว่าสองโหล รวมถึง Santander, BBVA, CaixaBank, Bankinter และ Caixa Geral de Depósitos เมื่อถึงจุดนั้น มันสามารถจับภาพหน้าจอ บันทึกการกดแป้นพิมพ์ (keylogging) ดัดแปลงคลิปบอร์ด และแสดงหน้าจอธนาคารปลอมเพื่อหลอกให้ผู้ใช้กรอกข้อมูลล็อกอิน
โครงสร้างการสั่งการและควบคุม (C2) ถูกออกแบบมาเพื่อหลบเลี่ยงความพยายามในการปิดกั้น ลิงก์ Pastebin ที่ฝังอยู่ในมัลแวร์ชี้ไปยังสิ่งที่ดูเหมือนที่อยู่เซิร์ฟเวอร์ แต่ Fortinet ยืนยันว่านี่เป็นตัวลวง (decoy) ที่นำไปสู่ทางตัน ที่อยู่จริงจะเปลี่ยนทุกวัน สร้างจากค่าแฮชของวันที่ปัจจุบันที่ดึงมาจากหน้า error ของ Google ทำให้การบล็อกโดเมนของเมื่อวานไร้ประโยชน์
ที่น่าสังเกตคือ PDF หรืออีเมลใด ๆ ที่อ้างว่าไฟล์เสียหายและขอให้ผู้อ่านกด Update ควรถูกมองว่าเป็นภัยคุกคาม เช่นเดียวกับข้อความที่ขอให้ผู้ใช้วางคำสั่งเพื่อ “แก้ error” ซึ่งเป็นกลวิธีที่เรียกว่า ClickFix ส่วนไฟล์แนบประเภทใบแจ้งหนี้ (invoice), factura หรือเอกสารภาษีที่ไม่คาดคิด ก็สมควรได้รับการตรวจสอบเป็นพิเศษ โดยเฉพาะองค์กรที่มีพนักงานหรือลูกค้าในสเปนและโปรตุเกส
ผลกระทบต่อไทย
แม้ Ousaban จะจับเป้าเฉพาะลูกค้าธนาคารในสเปนและโปรตุเกสด้วย geofencing ที่บล็อกผู้ใช้นอกสองประเทศ แต่เทคนิคที่ใช้ในแคมเปญนี้เป็นสิ่งที่ผู้ดูแลระบบไทยควรเรียนรู้ ทั้งการใช้ PDF ฟิชชิงที่อ้างว่าไฟล์เสียหายเพื่อหลอกกดปุ่ม การซ่อนเพย์โหลดในภาพด้วย steganography และการเปลี่ยนที่อยู่ C2 ทุกวันเพื่อหนีการบล็อก ล้วนเป็นกลวิธีที่กลุ่มโจมตีอื่นสามารถนำมาปรับใช้กับเป้าหมายในไทยได้
โทรจันธนาคารสายบราซิลอย่างตระกูล Tetrade มีประวัติขยายเป้าหมายจากละตินอเมริกาไปยังยุโรปและภูมิภาคอื่น การที่มัลแวร์แสดงหน้าจอธนาคารปลอมและดักจับรหัสผ่านแบบเรียลไทม์ ถือเป็นภัยโดยตรงต่อผู้ใช้ mobile/internet banking ในไทยหากกลุ่มเหล่านี้หันมาสนใจธนาคารไทยในอนาคต
คำแนะนำ
Fortinet เน้นให้จัดการกับเหยื่อล่อที่น่าสงสัยด้วยความระแวงทันที แทนที่จะพึ่งพาการสแกนอัตโนมัติเพียงอย่างเดียว PDF หรืออีเมลที่อ้างว่าไฟล์เสียหายและขอให้กด Update รวมถึงข้อความที่ขอให้วางคำสั่งเพื่อแก้ error (ClickFix) ควรถูกปฏิบัติเสมือนเป็นภัยคุกคาม ส่วนไฟล์แนบประเภทใบแจ้งหนี้หรือเอกสารภาษีที่ไม่คาดคิดควรตรวจสอบเป็นพิเศษ
ทีมความปลอดภัยยังควรเชื่อมโยง (correlate) ล็อกจากเอนด์พอยต์ อีเมล DNS และพร็อกซีเข้าด้วยกัน แทนที่จะเชื่อผลจากแซนด์บ็อกซ์เพียงอย่างเดียว เพราะการคัดกรองฝั่งเซิร์ฟเวอร์ (server-side screening) หมายความว่าเครื่องสแกนอัตโนมัติอาจเห็นเพียงหน้า error ที่ไร้พิษภัยเท่านั้น ทั้งนี้ Fortinet ระบุว่าเอนจินแอนตี้ไวรัสและผลิตภัณฑ์ความปลอดภัยอีเมลของบริษัทสามารถตรวจจับตัวอย่างและข้อความฟิชชิงที่เชื่อมโยงกับแคมเปญนี้ได้แล้ว
