Ousaban panganduse troojalane

Turvaeksperdid hoiatavad, et häkkerid kasutavad Google Cloud Run teenust suure hulga pangatroojalaste levitamiseks. Küberkurjategijad kasutavad erinevaid mobiili pahavara ohte, nagu Ousaban, koos teiste pangandustroojalastega, nagu Astaroth ja Mekotio .

Google Cloud Run annab kasutajatele võimaluse juurutada esi- ja taustateenuseid, veebisaite või rakendusi, hallata töökoormust ilma infrastruktuuri haldamise või skaleerimiseta. Google'i teenuse väärkasutust pahavara levitamiseks täheldati esmakordselt 2023. aasta septembris, kui Brasiilia näitlejad algatasid kampaaniad, milles kasutati pahavara kasulike koormuste juurutamiseks MSI installifaile.

Küberkurjategijad kasutavad ära andmepüügitaktikat, et toimetada Trooja pangaohtudega

Rünnakud algavad potentsiaalsetele ohvritele suunatud andmepüügimeilidega, mis on oskuslikult kavandatud jäljendama tõelist suhtlust, mis on seotud arvete, finantsaruannete või väidetavalt kohalikelt omavalitsustelt ja maksuametitelt pärinevate sõnumitega. Uurijad märgivad, et enamik selle kampaania e-kirju on hispaania keeles, sihitud Ladina-Ameerika riike, kuid on juhtumeid, kus kasutatakse itaalia keelt. Need petlikud meilid sisaldavad linke, mis suunavad kasutajad Google Cloud Run'is hostitud pahatahtlikesse veebiteenustesse.

Teatud stsenaariumide korral tarnitakse kasulik koormus MSI-failide kaudu. Teise võimalusena kasutab teenus 302 ümbersuunamist Google Cloud Storage asukohta, kus salvestatakse ähvardavat MSI-faili sisaldav ZIP-arhiiv. Kui ohvrid käivitavad pahatahtlikud MSI-failid, laaditakse nende süsteemides alla ja käivitatakse täiendavad komponendid ja kasulikud koormused. Täheldatud juhtudel kasutab teise etapi kasuliku koormuse tarnimine legitiimset Windowsi tööriista „BITSAdmin”.

Püsivuse tagamiseks ja taaskäivituste üleelamiseks kehtestab pahavara end ohvri süsteemis, lisades LNK-failid ('sysupdates.setup.lnk') kausta Startup. Need LNK-failid on konfigureeritud käivitama PowerShelli käsku, mis omakorda käivitab nakkusskripti (AutoIT).

Ohustatud seadmed on nakatunud ohvrite finantsandmetele suunatud mobiilse pahavaraga

Google Cloud Runi kasutavad kampaaniad sisaldavad kolme pangatroojalast: Ousaban, Astaroth ja Mekotio. Iga troojalane on loodud selleks, et salaja tungida süsteemidesse, luua püsivus ja saada ebaseaduslikult tundlikke finantsandmeid pangakontodele volitamata juurdepääsuks.

Pangandustroojalasel Ousabanil on sellised võimalused nagu klahvilogimine, ekraanipiltide jäädvustamine ja pangaandmete õngitsemine võltsitud (kloonitud) pangaportaalide kaudu. Teadlased märgivad, et Ousabani tutvustatakse Astarothi nakkusahela hilisemas etapis, mis viitab võimalikule koostööle kahe pahavaraperekonna operaatorite vahel või ühe ohuosalise kaasamisele, kes mõlemat jälgib.

Astaroth kasutab täiustatud maksudest kõrvalehoidmise tehnikaid ja keskendub esialgu Brasiilia sihtmärkidele, kuid on laiendanud oma ulatust enam kui 300 finantsasutuseni 15 Ladina-Ameerika riigis. Hiljuti on pahavara hakanud koguma mandaate krüptovaluutavahetusteenuste jaoks. Kasutades klahvilogimist, ekraani jäädvustamist ja lõikelaua jälgimist, Astaroth mitte ainult ei röövi tundlikke andmeid, vaid peatab ja manipuleerib ka Interneti-liiklust, et koguda pangamandaate.

Mitu aastat tegutsenud Mekotio keskendub Ladina-Ameerika piirkonnale. Mekotio, kes on tuntud pangamandaatide ja isikuandmete röövimise ning petturlike tehingute sooritamise poolest, saab manipuleerida veebibrauseritega, et suunata kasutajaid andmepüügisaitidele.