Ousaban Banking Trojan
کارشناسان امنیتی هشدار می دهند که هکرها از سرویس Google Cloud Run برای انتشار مقادیر زیادی از تروجان های بانکی سوء استفاده می کنند. مجرمان سایبری از تهدیدات بدافزارهای تلفن همراه مختلف، مانند Ousaban، همراه با سایر تروجان های بانکی مانند Astaroth و Mekotio استفاده می کنند.
Google Cloud Run به کاربران این امکان را میدهد تا سرویسها، وبسایتها یا برنامههای کاربردی جلویی و بکاند را مستقر کنند و حجم کاری را بدون پیچیدگیهای مدیریت زیرساخت یا مقیاسگذاری مدیریت کنند. سوء استفاده از سرویس Google برای توزیع بدافزار اولین بار در سپتامبر 2023 مشاهده شد، زمانی که بازیگران برزیلی کمپین هایی را با استفاده از فایل های نصب کننده MSI برای استقرار بارهای بدافزار آغاز کردند.
مجرمان سایبری از تاکتیک های فیشینگ برای ارائه تهدیدات تروجان بانکی سوء استفاده می کنند
حملات با ایمیلهای فیشینگ ارسال شده به قربانیان احتمالی آغاز میشوند که به طرز ماهرانهای برای تقلید از ارتباطات واقعی مربوط به صورتحسابها، صورتهای مالی یا پیامهایی که ظاهراً از سوی دولت محلی و سازمانهای مالیاتی ارائه میشوند، طراحی شدهاند. محققان خاطرنشان می کنند که اکثر ایمیل های این کمپین به زبان اسپانیایی هستند و کشورهای آمریکای لاتین را هدف قرار می دهند، اما مواردی وجود دارد که از ایتالیایی استفاده می شود. این ایمیلهای فریبنده حاوی پیوندهایی هستند که کاربران را به سرویسهای وب مخربی که در Google Cloud Run میزبانی میشوند هدایت میکنند.
در سناریوهای خاصی، محموله از طریق فایل های MSI تحویل داده می شود. از طرف دیگر، این سرویس از تغییر مسیر 302 به یک مکان Google Cloud Storage استفاده می کند، جایی که یک بایگانی ZIP حاوی یک فایل تهدید کننده MSI ذخیره می شود. پس از اجرای فایل های مخرب MSI توسط قربانیان، اجزای اضافی و بارهای بارگیری شده بر روی سیستم آنها دانلود و اجرا می شوند. در موارد مشاهده شده، تحویل محموله مرحله دوم از ابزار قانونی ویندوز "BITSAdmin" سوء استفاده می کند.
برای اطمینان از پایداری و زنده ماندن راه اندازی مجدد، بدافزار با افزودن فایل های LNK ('sysupdates.setup.lnk') در پوشه Startup، خود را بر روی سیستم قربانی مستقر می کند. این فایلهای LNK برای اجرای یک فرمان PowerShell پیکربندی شدهاند که به نوبه خود، اسکریپت عفونت ('AutoIT') را اجرا میکند.
دستگاههای در معرض خطر آلوده به بدافزار موبایلی هستند که دادههای مالی قربانیان را هدف قرار میدهند
کمپین هایی که از Google Cloud Run بهره برداری می کنند دارای سه تروجان بانکی هستند: Ousaban، Astaroth و Mekotio. هر تروجان برای نفوذ مخفیانه به سیستم ها، ایجاد پایداری و به دست آوردن غیرقانونی داده های مالی حساس برای دسترسی غیرمجاز به حساب های بانکی ساخته شده است.
Ousaban، یک تروجان بانکی، دارای قابلیت هایی مانند keylogging، گرفتن اسکرین شات و فیشینگ برای اعتبار بانکی از طریق درگاه های بانکی تقلبی (کلون شده) است. محققان مشاهده می کنند که Ousaban در مرحله بعدی در زنجیره عفونت Astaroth معرفی می شود، که نشان دهنده همکاری بالقوه بین اپراتورهای دو خانواده بدافزار یا دخالت یک عامل تهدید کننده واحد است که بر هر دو نظارت می کند.
Astaroth از تکنیک های پیشرفته فرار استفاده می کند و در ابتدا بر اهداف برزیلی تمرکز می کند، اما دامنه خود را به بیش از 300 موسسه مالی در 15 کشور در آمریکای لاتین گسترش داده است. اخیراً، این بدافزار شروع به جمعآوری اعتبار برای سرویسهای مبادله ارزهای دیجیتال کرده است. Astaroth با استفاده از keylogging، ضبط صفحه و نظارت بر کلیپ بورد، نه تنها داده های حساس را به سرقت می برد، بلکه ترافیک اینترنت را برای گرفتن اعتبار بانکی رهگیری و دستکاری می کند.
Mekotio که چندین سال فعال است، در منطقه آمریکای لاتین متمرکز است. Mekotio که به سرقت اعتبارات بانکی و اطلاعات شخصی و اجرای تراکنشهای جعلی معروف است، میتواند مرورگرهای وب را دستکاری کند تا کاربران را به سایتهای فیشینگ هدایت کند.