Ousaban Banking Trojan

Sikkerhedseksperter advarer om, at hackere udnytter Google Cloud Run-tjenesten til at sprede store mængder banktrojanske heste. Cyberkriminelle bruger forskellige mobile malware-trusler, såsom Ousaban, sammen med andre banktrojanske heste som Astaroth og Mekotio .

Google Cloud Run giver brugerne mulighed for at implementere frontend- og backend-tjenester, websteder eller applikationer og administrere arbejdsbelastninger uden kompleksiteten ved infrastrukturstyring eller skalering. Misbruget af Googles service til malwaredistribution blev først observeret i september 2023, da brasilianske aktører iværksatte kampagner, der brugte MSI-installationsfiler til at implementere malware-nyttelaster.

Cyberkriminelle udnytter phishing-taktik til at levere trojanske banktrusler

Angrebene begynder med phishing-e-mails rettet mod potentielle ofre, dygtigt designet til at efterligne ægte kommunikation relateret til fakturaer, regnskaber eller beskeder, der angiveligt kommer fra lokale myndigheder og skattemyndigheder. Forskerne bemærker, at størstedelen af e-mails i denne kampagne er på spansk, målrettet mod lande i Latinamerika, men der er tilfælde, hvor italiensk bruges. Disse vildledende e-mails indeholder links, der omdirigerer brugere til ondsindede webtjenester, der hostes på Google Cloud Run.

I visse scenarier leveres nyttelasten gennem MSI-filer. Alternativt anvender tjenesten en 302-omdirigering til en Google Cloud Storage-placering, hvor et ZIP-arkiv, der indeholder en truende MSI-fil, er gemt. Ved udførelse af de ondsindede MSI-filer af ofre, downloades og udføres yderligere komponenter og nyttelast på deres systemer. I observerede tilfælde udnytter anden trins levering af nyttelast det legitime Windows-værktøj 'BITSAdmin'.

For at sikre vedholdenhed og overleve genstarter, etablerer malwaren sig på offerets system ved at tilføje LNK-filer ('sysupdates.setup.lnk') i Startup-mappen. Disse LNK-filer er konfigureret til at udføre en PowerShell-kommando, der igen kører infektionsscriptet ('AutoIT').

Kompromitterede enheder er inficeret med mobilmalware, der er målrettet mod ofres økonomiske data

Kampagnerne, der udnytter Google Cloud Run, indeholder tre banktrojanske heste: Ousaban, Astaroth og Mekotio. Hver trojaner er udformet til snigende at infiltrere systemer, etablere persistens og ulovligt indhente følsomme finansielle data for uautoriseret adgang til bankkonti.

Ousaban, en banktrojaner, besidder funktioner som keylogging, optagelse af skærmbilleder og phishing efter bankoplysninger gennem falske (klonede) bankportaler. Forskere observerer, at Ousaban introduceres på et senere tidspunkt i Astaroth-infektionskæden, hvilket tyder på et potentielt samarbejde mellem operatørerne af de to malware-familier eller involvering af en enkelt trusselsaktør, der overvåger begge.

Astaroth anvender avancerede unddragelsesteknikker og fokuserer i første omgang på brasilianske mål, men har udvidet sit omfang til over 300 finansielle institutioner i 15 lande i Latinamerika. For nylig er malwaren begyndt at indsamle legitimationsoplysninger til cryptocurrency-udvekslingstjenester. Ved at bruge keylogging, screen capture og klippebordsovervågning stjæler Astaroth ikke kun følsomme data, men opsnapper og manipulerer også internettrafik for at fange bankoplysninger.

Mekotio, der har været aktiv i flere år, koncentrerer sig om den latinamerikanske region. Kendt for at stjæle bankoplysninger og personlige oplysninger og udføre svigagtige transaktioner, kan Mekotio manipulere webbrowsere til at omdirigere brugere til phishing-websteder.