طروادة المصرفية Ousaban

يحذر خبراء الأمن من أن المتسللين يستغلون خدمة Google Cloud Run لنشر كميات كبيرة من أحصنة طروادة المصرفية. يستخدم مجرمو الإنترنت العديد من تهديدات البرامج الضارة للهواتف المحمولة، مثل Ousaban، إلى جانب أحصنة طروادة المصرفية الأخرى مثل Astaroth و Mekotio .

يعمل Google Cloud Run على تمكين المستخدمين من نشر خدمات الواجهة الأمامية والخلفية أو مواقع الويب أو التطبيقات، وإدارة أعباء العمل دون تعقيدات إدارة البنية التحتية أو التوسع. تمت ملاحظة إساءة استخدام خدمة Google لتوزيع البرامج الضارة لأول مرة في سبتمبر 2023 عندما بدأ ممثلون برازيليون حملات تستخدم ملفات تثبيت MSI لنشر حمولات البرامج الضارة.

يستغل مجرمو الإنترنت أساليب التصيد الاحتيالي لتوصيل تهديدات طروادة المصرفية

تبدأ الهجمات برسائل البريد الإلكتروني التصيدية الموجهة إلى الضحايا المحتملين، والمصممة بمهارة لتقليد الاتصالات الحقيقية المتعلقة بالفواتير أو البيانات المالية أو الرسائل المزعومة من الحكومة المحلية ووكالات الضرائب. لاحظ الباحثون أن غالبية رسائل البريد الإلكتروني في هذه الحملة باللغة الإسبانية، وتستهدف دولًا في أمريكا اللاتينية، ولكن هناك حالات يتم فيها استخدام اللغة الإيطالية. تحتوي رسائل البريد الإلكتروني الخادعة هذه على روابط تعيد توجيه المستخدمين إلى خدمات الويب الضارة المستضافة على Google Cloud Run.

في بعض السيناريوهات، يتم تسليم الحمولة من خلال ملفات MSI. وبدلاً من ذلك، تستخدم الخدمة إعادة توجيه 302 إلى موقع Google Cloud Storage، حيث يتم تخزين أرشيف ZIP يحتوي على ملف MSI مهدد. عند تنفيذ ملفات MSI الضارة من قبل الضحايا، يتم تنزيل مكونات وحمولات إضافية وتنفيذها على أنظمتهم. في الحالات التي تمت ملاحظتها، يستغل تسليم الحمولة في المرحلة الثانية أداة Windows الشرعية "BITSAdmin".

ولضمان الاستمرارية والبقاء على قيد الحياة في عمليات إعادة التشغيل، تثبت البرامج الضارة نفسها على نظام الضحية عن طريق إضافة ملفات LNK ('sysupdates.setup.lnk') في مجلد بدء التشغيل. تم تكوين ملفات LNK هذه لتنفيذ أمر PowerShell الذي يقوم بدوره بتشغيل البرنامج النصي للإصابة ("AutoIT").

الأجهزة المخترقة مصابة ببرامج ضارة على الأجهزة المحمولة تستهدف البيانات المالية للضحايا

تتميز الحملات التي تستغل Google Cloud Run بثلاثة أحصنة طروادة المصرفية: Ousaban وAstaroth وMekotio. تم تصميم كل حصان طروادة للتسلل خلسة إلى الأنظمة، وتحقيق الاستمرارية، والحصول بشكل غير قانوني على بيانات مالية حساسة للوصول غير المصرح به إلى الحسابات المصرفية.

يمتلك Ousaban، وهو حصان طروادة المصرفي، إمكانات مثل تسجيل لوحة المفاتيح والتقاط لقطات الشاشة والتصيد الاحتيالي لبيانات الاعتماد المصرفية من خلال البوابات المصرفية المزيفة (المستنسخة). لاحظ الباحثون أن Ousaban تم تقديمه في مرحلة لاحقة من سلسلة عدوى Astaroth، مما يشير إلى وجود تعاون محتمل بين مشغلي عائلتي البرمجيات الخبيثة أو تورط جهة تهديد واحدة تشرف على كليهما.

تستخدم Astaroth تقنيات تهرب متقدمة وتركز في البداية على الأهداف البرازيلية ولكنها وسعت نطاقها ليشمل أكثر من 300 مؤسسة مالية في 15 دولة في أمريكا اللاتينية. في الآونة الأخيرة، بدأت البرامج الضارة في جمع بيانات الاعتماد لخدمات تبادل العملات المشفرة. باستخدام تسجيل لوحة المفاتيح والتقاط الشاشة ومراقبة الحافظة، لا يقوم Astaroth بسرقة البيانات الحساسة فحسب، بل يعترض أيضًا حركة المرور على الإنترنت ويتلاعب بها للحصول على بيانات الاعتماد المصرفية.

Mekotio، النشطة لعدة سنوات، تركز على منطقة أمريكا اللاتينية. يُعرف Mekotio بسرقة بيانات الاعتماد المصرفية والمعلومات الشخصية وتنفيذ المعاملات الاحتيالية، ويمكنه التلاعب بمتصفحات الويب لإعادة توجيه المستخدمين إلى مواقع التصيد الاحتيالي.