Банков троян Ousaban

Експертите по сигурността предупреждават, че хакерите експлоатират услугата Google Cloud Run, за да разпространяват големи количества банкови троянски коне. Киберпрестъпниците използват различни заплахи за мобилен зловреден софтуер, като Ousaban, заедно с други банкови троянски коне като Astaroth и Mekotio .

Google Cloud Run дава възможност на потребителите да разгръщат предни и задни услуги, уебсайтове или приложения, като управляват натоварванията без сложността на управлението на инфраструктурата или мащабирането. Злоупотребата с услугата на Google за разпространение на злонамерен софтуер беше наблюдавана за първи път през септември 2023 г., когато бразилски актьори инициираха кампании, използващи инсталационни файлове на MSI за внедряване на полезни товари на злонамерен софтуер.

Киберпрестъпниците използват тактики за фишинг, за да доставят банкови троянски заплахи

Атаките започват с фишинг имейли, насочени към потенциални жертви, умело проектирани да имитират истински комуникации, свързани с фактури, финансови отчети или съобщения, уж от местните власти и данъчни агенции. Изследователите отбелязват, че по-голямата част от имейлите в тази кампания са на испански, насочени към страни в Латинска Америка, но има случаи, в които се използва италиански. Тези измамни имейли съдържат връзки, които пренасочват потребителите към злонамерени уеб услуги, хоствани в Google Cloud Run.

В определени сценарии полезният товар се доставя чрез MSI файлове. Като алтернатива услугата използва пренасочване 302 към местоположение на Google Cloud Storage, където се съхранява ZIP архив, съдържащ заплашителен MSI файл. При изпълнение на злонамерените MSI файлове от жертвите, допълнителни компоненти и полезни товари се изтеглят и изпълняват на техните системи. В наблюдаваните случаи доставката на полезен товар от втория етап използва легитимния инструмент на Windows „BITSAdmin“.

За да осигури устойчивост и да оцелее при рестартиране, зловредният софтуер се установява в системата на жертвата чрез добавяне на LNK файлове („sysupdates.setup.lnk“) в папката Startup. Тези LNK файлове са конфигурирани да изпълняват команда на PowerShell, която от своя страна изпълнява скрипта за инфекция („AutoIT“).

Компрометираните устройства са заразени с мобилен зловреден софтуер, насочен към финансовите данни на жертвите

Кампаниите, използващи Google Cloud Run, включват три банкови троянски коне: Ousaban, Astaroth и Mekotio. Всеки троянски кон е създаден да прониква скрито в системи, да установява устойчивост и да получава незаконно чувствителни финансови данни за неоторизиран достъп до банкови сметки.

Ousaban, банков троянски кон, притежава възможности като keylogging, заснемане на екранни снимки и фишинг за банкови идентификационни данни чрез фалшиви (клонирани) банкови портали. Изследователите отбелязват, че Ousaban се въвежда на по-късен етап от веригата за заразяване с Astaroth, което предполага потенциално сътрудничество между операторите на двете фамилии зловреден софтуер или участието на един-единствен заплаха, който контролира и двете.

Astaroth използва усъвършенствани техники за избягване и първоначално се фокусира върху бразилски цели, но разшири обхвата си до над 300 финансови институции в 15 държави в Латинска Америка. Наскоро зловредният софтуер започна да събира идентификационни данни за услуги за обмен на криптовалута. Използвайки keylogging, заснемане на екрана и наблюдение на клипборда, Astaroth не само краде чувствителни данни, но също така прихваща и манипулира интернет трафика, за да улови банкови идентификационни данни.

Mekotio, активен от няколко години, се концентрира върху региона на Латинска Америка. Известен с кражбата на банкови идентификационни данни и лична информация и извършването на измамни транзакции, Mekotio може да манипулира уеб браузърите, за да пренасочва потребителите към фишинг сайтове.