Der Einstieg erfolgt über ein PDF-Dokument, das eine beschädigte Datei vortäuscht. Das Dokument zeigt eine Aufforderung, auf „Atualizar“ zu klicken, wodurch eine bösartige Webseite geöffnet wird. Nach Angaben von Fortinet kann im PDF verborgener JavaScript-Code dieselbe Seite auch selbstständig öffnen. Die Seite gibt sich als Portal für Steuerdokumente und Installationen aus, prüft Besucher aber zunächst gezielt.

Fortinet zufolge lief diese Filterung in einer früheren Variante noch im Browser. Dabei wurden IP-Adresse, Sprache und Zeitzone überprüft, Zugriffe über VPN blockiert und automatisierte Sicherheitstools anhand von Merkmalen wie Bildschirmgröße und installierten Schriftarten aussortiert. In der aktuellen Version findet diese Prüfung auf dem Server der Angreifer statt, sodass die genauen Regeln verborgen bleiben. Wer sich nicht in Spanien oder Portugal befindet, erhält stattdessen nur eine spanischsprachige Meldung über verweigerten Zugriff.

Besteht ein Besucher die Prüfung, beginnt der Download. Ein Skript lädt ein Bild herunter, das wie ein PDF-Symbol aussieht, tatsächlich aber per Steganografie ein ZIP-Archiv enthält. Das Skript entpackt daraus Ousaban, startet die Schadsoftware und löscht anschließend Bild, ZIP-Datei und sich selbst, um möglichst wenig Spuren zu hinterlassen. Nach dem Start richtet Ousaban laut Fortinet einen Registry-Eintrag mit dem Namen „Financeiro“ ein, damit der Trojaner zusammen mit Windows geladen wird.

Die Steuerungsinfrastruktur ist nach Beobachtung von Fortinet absichtlich schwer auffindbar. Ousaban enthält einen Pastebin-Link, der auf eine Serveradresse verweist, doch diese Adresse sei ein Köder. Schon in früheren Kampagnen habe die Malware Konfigurationsdaten in Google Docs versteckt. Diesmal wechselt der tatsächliche Server täglich: Die Schadsoftware liest das aktuelle Datum von einer Google-Seite aus, erzeugt daraus zusammen mit einem festen Geheimwert eine Webadresse und ruft diese ab. Das Blockieren der Adresse vom Vortag hilft daher kaum.

Ousaban, auch als Javali verfolgt, gehört zu einer Gruppe brasilianischer Banking-Trojaner, die Kaspersky vor Jahren zusammen mit Grandoreiro, Guildma und Melcoz als „Tetrade“ bezeichnete. Diese Familien entstanden in Brasilien und breiteten sich später nach Spanien und Portugal aus; dabei übernahmen sie laut Quelle auch Code voneinander. Fortinet verweist darauf, dass Ousabans Zeichenkettenverschlüsselung dasselbe kundenspezifische Verfahren nutzt wie Casbaneiro.

Als Beispiel für die Langlebigkeit dieses Vorgehens nennt der Bericht Grandoreiro. Die Malware überstand eine von Interpol koordinierte Abschaltung im Januar 2024 und war laut Quelle wenige Monate später wieder aktiv. Ihre Loader nutzten ebenfalls PDF-artige Köder und Länderprüfungen. Grandoreiro sei weiterhin gegen Ziele auf der Iberischen Halbinsel im Einsatz; in diesem Jahr wurde eine Kampagne gemeldet, die weiter portugiesische Banken attackierte. Fortinet bringt außerdem dieselbe Infrastruktur mit Ousaban-Aktivitäten Ende 2025 in Verbindung, bei denen andere Einstiegswege eingesetzt wurden, darunter „ClickFix“ – ein Betrug, bei dem das Opfer in der Annahme einer Fehlerbehebung selbst einen schädlichen Befehl einfügt.

Für die Erkennung nennt Fortinet konkrete Indikatoren: Verteidiger sollten auf den Registry-Run-Schlüssel „Financeiro“ und auf Dateien unter C:\SysMain_5874288 achten. Der Bericht enthält zudem Domains, IP-Adressen und Dateihashes zum Blockieren. Fortinet erklärt, dass FortiGuard Antivirus die Proben erkennt und FortiMail die Phishing-Mail markiert. Betroffen ist nach Angaben des Unternehmens ausschließlich Windows. Neu sei am Trojaner selbst wenig; die modernisierte Hülle aus Geofencing, versteckter Nutzlast und täglich wechselnder Adresse sorge jedoch dafür, dass nur reale Opfer in zwei Ländern die Malware erhalten.