Ousaban Banking Trojan

Οι ειδικοί ασφαλείας προειδοποιούν ότι οι χάκερ εκμεταλλεύονται την υπηρεσία Google Cloud Run για να διαδώσουν μεγάλες ποσότητες τραπεζικών Trojans. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διάφορες απειλές κακόβουλου λογισμικού για κινητά, όπως το Ousaban, μαζί με άλλα τραπεζικά Trojans όπως το Astaroth και το Mekotio .

Το Google Cloud Run δίνει τη δυνατότητα στους χρήστες να αναπτύσσουν υπηρεσίες, ιστότοπους ή εφαρμογές frontend και backend, διαχειριζόμενοι φόρτους εργασίας χωρίς την πολυπλοκότητα της διαχείρισης υποδομής ή της κλιμάκωσης. Η κακή χρήση της υπηρεσίας της Google για διανομή κακόβουλου λογισμικού παρατηρήθηκε για πρώτη φορά τον Σεπτέμβριο του 2023, όταν Βραζιλιάνοι ηθοποιοί ξεκίνησαν καμπάνιες που χρησιμοποιούν αρχεία εγκατάστασης MSI για την ανάπτυξη ωφέλιμων φορτίων κακόβουλου λογισμικού.

Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται τις τακτικές phishing για την παροχή τραπεζικών απειλών Trojan

Οι επιθέσεις ξεκινούν με μηνύματα ηλεκτρονικού ψαρέματος (phishing) που απευθύνονται σε πιθανά θύματα, τα οποία έχουν σχεδιαστεί επιδέξια για να μιμούνται γνήσιες επικοινωνίες που σχετίζονται με τιμολόγια, οικονομικές καταστάσεις ή μηνύματα που υποτίθεται ότι προέρχονται από την τοπική κυβέρνηση και τις φορολογικές υπηρεσίες. Οι ερευνητές σημειώνουν ότι η πλειονότητα των email σε αυτήν την καμπάνια είναι στα ισπανικά, στοχεύοντας χώρες της Λατινικής Αμερικής, αλλά υπάρχουν περιπτώσεις όπου χρησιμοποιούνται ιταλικά. Αυτά τα παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνδέσμους που ανακατευθύνουν τους χρήστες σε κακόβουλες υπηρεσίες ιστού που φιλοξενούνται στο Google Cloud Run.

Σε ορισμένα σενάρια, το ωφέλιμο φορτίο παραδίδεται μέσω αρχείων MSI. Εναλλακτικά, η υπηρεσία χρησιμοποιεί μια ανακατεύθυνση 302 σε μια τοποθεσία Google Cloud Storage, όπου αποθηκεύεται ένα αρχείο ZIP που περιέχει ένα απειλητικό αρχείο MSI. Κατά την εκτέλεση των κακόβουλων αρχείων MSI από τα θύματα, επιπλέον στοιχεία και ωφέλιμα φορτία κατεβαίνουν και εκτελούνται στα συστήματά τους. Σε περιπτώσεις που παρατηρήθηκαν, η παράδοση ωφέλιμου φορτίου δεύτερου σταδίου εκμεταλλεύεται το νόμιμο εργαλείο των Windows "BITSAdmin".

Για να διασφαλιστεί η επιμονή και να επιβιώσουν οι επανεκκινήσεις, το κακόβουλο λογισμικό εγκαθίσταται στο σύστημα του θύματος προσθέτοντας αρχεία LNK ('sysupdates.setup.lnk') στον φάκελο Startup. Αυτά τα αρχεία LNK έχουν ρυθμιστεί ώστε να εκτελούν μια εντολή PowerShell που, με τη σειρά της, εκτελεί το σενάριο μόλυνσης ("AutoIT").

Οι παραβιασμένες συσκευές έχουν μολυνθεί με κινητά κακόβουλα προγράμματα που στοχεύουν τα οικονομικά δεδομένα των θυμάτων

Οι καμπάνιες που εκμεταλλεύονται το Google Cloud Run διαθέτουν τρεις τραπεζικούς Trojans: Ousaban, Astaroth και Mekotio. Κάθε Trojan έχει κατασκευαστεί για να διεισδύει κρυφά σε συστήματα, να εδραιώνει την επιμονή και να αποκτά παράνομα ευαίσθητα οικονομικά δεδομένα για μη εξουσιοδοτημένη πρόσβαση σε τραπεζικούς λογαριασμούς.

Το Ousaban, ένα τραπεζικό Trojan, διαθέτει δυνατότητες όπως καταγραφή πληκτρολογίου, λήψη στιγμιότυπων οθόνης και phishing για τραπεζικά διαπιστευτήρια μέσω πλαστών (κλωνοποιημένων) τραπεζικών πυλών. Οι ερευνητές παρατηρούν ότι το Ousaban εισάγεται σε μεταγενέστερο στάδιο στην αλυσίδα μόλυνσης του Astaroth, υποδηλώνοντας μια πιθανή συνεργασία μεταξύ των χειριστών των δύο οικογενειών κακόβουλου λογισμικού ή τη συμμετοχή ενός μόνο παράγοντα απειλής που επιβλέπει και τα δύο.

Η Astaroth χρησιμοποιεί προηγμένες τεχνικές φοροδιαφυγής και αρχικά εστιάζει σε στόχους της Βραζιλίας, αλλά έχει επεκτείνει το πεδίο εφαρμογής της σε περισσότερα από 300 χρηματοπιστωτικά ιδρύματα σε 15 χώρες της Λατινικής Αμερικής. Πρόσφατα, το κακόβουλο λογισμικό άρχισε να συλλέγει διαπιστευτήρια για υπηρεσίες ανταλλαγής κρυπτονομισμάτων. Χρησιμοποιώντας καταγραφή πληκτρολογίου, καταγραφή οθόνης και παρακολούθηση από το πρόχειρο, η Astaroth όχι μόνο κλέβει ευαίσθητα δεδομένα, αλλά επίσης υποκλοπή και χειραγωγεί την κυκλοφορία στο Διαδίκτυο για να καταγράψει τραπεζικά διαπιστευτήρια.

Το Mekotio, ενεργό εδώ και αρκετά χρόνια, επικεντρώνεται στην περιοχή της Λατινικής Αμερικής. Γνωστή για την κλοπή τραπεζικών διαπιστευτηρίων και προσωπικών πληροφοριών και την εκτέλεση δόλιων συναλλαγών, η Mekotio μπορεί να χειραγωγήσει τα προγράμματα περιήγησης ιστού για να ανακατευθύνει τους χρήστες σε ιστότοπους ηλεκτρονικού ψαρέματος.