Troià bancari Ousaban

Els experts en seguretat adverteixen que els pirates informàtics estan explotant el servei Google Cloud Run per difondre grans quantitats de troians bancaris. Els cibercriminals utilitzen diverses amenaces de programari maliciós mòbil, com Ousaban, juntament amb altres troians bancaris com Astaroth i Mekotio .

Google Cloud Run permet als usuaris desplegar serveis, llocs web o aplicacions d'interfície i backend, gestionant les càrregues de treball sense les complexitats de la gestió o l'escalat de la infraestructura. L'ús indegut del servei de Google per a la distribució de programari maliciós es va observar per primera vegada el setembre de 2023, quan actors brasilers van iniciar campanyes que utilitzaven fitxers d'instal·lació MSI per desplegar càrregues útils de programari maliciós.

Els ciberdelinqüents utilitzen tàctiques de phishing per oferir amenaces bancàries de Troia

Els atacs comencen amb correus electrònics de pesca dirigits a víctimes potencials, dissenyats hàbilment per imitar comunicacions genuïnes relacionades amb factures, estats financers o missatges suposadament del govern local i les agències fiscals. Els investigadors assenyalen que la majoria dels correus electrònics d'aquesta campanya estan en espanyol i estan dirigits a països d'Amèrica Llatina, però hi ha casos en què s'utilitza l'italià. Aquests correus electrònics enganyosos contenen enllaços que redirigeixen els usuaris a serveis web maliciosos allotjats a Google Cloud Run.

En determinats escenaris, la càrrega útil es lliura mitjançant fitxers MSI. Alternativament, el servei utilitza una redirecció 302 a una ubicació de Google Cloud Storage, on s'emmagatzema un arxiu ZIP que conté un fitxer MSI amenaçador. En executar els fitxers MSI maliciosos per part de les víctimes, els components i càrregues útils addicionals es descarreguen i s'executen als seus sistemes. En els casos observats, el lliurament de la càrrega útil de la segona etapa explota l'eina legítima de Windows "BITSAdmin".

Per garantir la persistència i sobreviure als reinicis, el programari maliciós s'estableix al sistema de la víctima afegint fitxers LNK ('sysupdates.setup.lnk') a la carpeta d'inici. Aquests fitxers LNK estan configurats per executar una ordre de PowerShell que, al seu torn, executa l'script d'infecció ("AutoIT").

Els dispositius compromesos estan infectats amb programari maliciós mòbil dirigit a les dades financeres de les víctimes

Les campanyes que utilitzen Google Cloud Run inclouen tres troians bancaris: Ousaban, Astaroth i Mekotio. Cada troià està dissenyat per infiltrar-se furtivament en els sistemes, establir la persistència i obtenir il·lícitament dades financeres sensibles per a l'accés no autoritzat als comptes bancaris.

Ousaban, un troià bancari, té capacitats com ara el registre de tecles, la captura de captures de pantalla i la pesca de credencials bancàries mitjançant portals bancaris falsificats (clonats). Els investigadors observen que Ousaban s'introdueix en una fase posterior a la cadena d'infecció Astaroth, cosa que suggereix una possible col·laboració entre els operadors de les dues famílies de programari maliciós o la implicació d'un únic actor d'amenaça que supervisa ambdues.

Astaroth utilitza tècniques d'evasió avançades i inicialment se centra en objectius brasilers, però ha ampliat el seu abast a més de 300 institucions financeres de 15 països d'Amèrica Llatina. Recentment, el programari maliciós ha començat a recollir credencials per als serveis d'intercanvi de criptomoneda. Utilitzant el registre de tecles, la captura de pantalla i el control del porta-retalls, Astaroth no només roba dades sensibles, sinó que també intercepta i manipula el trànsit d'Internet per capturar credencials bancàries.

Mekotio, actiu des de fa diversos anys, es concentra a la regió llatinoamericana. Coneguda per robar credencials bancàries i informació personal i executar transaccions fraudulentes, Mekotio pot manipular els navegadors web per redirigir els usuaris a llocs de pesca.