Ousaban bankovní trojan

Bezpečnostní experti varují, že hackeři zneužívají službu Google Cloud Run k šíření velkého množství bankovních trojských koní. Kyberzločinci využívají různé mobilní malwarové hrozby, jako je Ousaban, spolu s dalšími bankovními trojskými koňmi, jako jsou Astaroth a Mekotio .

Google Cloud Run umožňuje uživatelům nasazovat frontendové a backendové služby, webové stránky nebo aplikace a spravovat pracovní zátěž bez složitých problémů se správou infrastruktury nebo škálováním. Zneužívání služby Google k distribuci malwaru bylo poprvé pozorováno v září 2023, kdy brazilští aktéři zahájili kampaně využívající instalační soubory MSI k nasazení užitečného zatížení malwaru.

Kyberzločinci využívají taktiku phishingu k šíření bankovních hrozeb trojských koní

Útoky začínají phishingovými e-maily zaměřenými na potenciální oběti, dovedně navrženými tak, aby napodobovaly skutečnou komunikaci související s fakturami, finančními výkazy nebo zprávami údajně od místních vlád a daňových úřadů. Výzkumníci poznamenávají, že většina e-mailů v této kampani je ve španělštině a cílí na země v Latinské Americe, ale existují případy, kdy se používá italština. Tyto podvodné e-maily obsahují odkazy, které uživatele přesměrovávají na škodlivé webové služby hostované na Google Cloud Run.

V určitých scénářích je užitečné zatížení doručeno prostřednictvím souborů MSI. Alternativně služba využívá přesměrování 302 do umístění Google Cloud Storage, kde je uložen archiv ZIP obsahující ohrožující soubor MSI. Po spuštění škodlivých souborů MSI oběťmi se na jejich systémech stáhnou a spustí další komponenty a užitečné zatížení. Ve sledovaných případech využívá druhá fáze doručování užitečného zatížení legitimní nástroj Windows „BITSAdmin“.

Aby byla zajištěna perzistence a přežití restartování, malware se usadí v systému oběti přidáním souborů LNK ('sysupdates.setup.lnk') do složky Po spuštění. Tyto soubory LNK jsou nakonfigurovány tak, aby spouštěly příkaz prostředí PowerShell, který naopak spouští skript infekce („AutoIT“).

Kompromitovaná zařízení jsou infikována mobilním malwarem zaměřeným na finanční údaje obětí

Kampaně využívající Google Cloud Run obsahují tři bankovní trojské koně: Ousaban, Astaroth a Mekotio. Každý trojský kůň je vytvořen tak, aby se tajně infiltroval do systémů, nastolil stálost a nezákonně získával citlivá finanční data pro neoprávněný přístup k bankovním účtům.

Ousaban, bankovní trojan, disponuje funkcemi, jako je keylogging, pořizování snímků obrazovky a phishing pro bankovní přihlašovací údaje prostřednictvím falešných (klonovaných) bankovních portálů. Výzkumníci pozorují, že Ousaban je zaveden v pozdější fázi infekčního řetězce Astaroth, což naznačuje potenciální spolupráci mezi operátory dvou rodin malwaru nebo zapojení jediného aktéra hrozby, který na obojí dohlíží.

Astaroth využívá pokročilé únikové techniky a zpočátku se zaměřuje na brazilské cíle, ale rozšířil svou působnost na více než 300 finančních institucí v 15 zemích Latinské Ameriky. Malware nedávno začal shromažďovat přihlašovací údaje pro služby směnárny kryptoměn. S využitím keyloggingu, snímání obrazovky a monitorování schránky Astaroth nejen krade citlivá data, ale také zachycuje a manipuluje internetový provoz, aby získal bankovní přihlašovací údaje.

Mekotio, aktivní již několik let, se soustředí na region Latinské Ameriky. Mekotio, známé pro krádeže bankovních přihlašovacích údajů a osobních údajů a provádění podvodných transakcí, dokáže manipulovat s webovými prohlížeči a přesměrovávat uživatele na phishingové stránky.