Ousaban Banking Trojan

کارشناسان امنیتی هشدار می دهند که هکرها از سرویس Google Cloud Run برای انتشار مقادیر زیادی از تروجان های بانکی سوء استفاده می کنند. مجرمان سایبری از تهدیدات بدافزارهای تلفن همراه مختلف، مانند Ousaban، همراه با سایر تروجان های بانکی مانند Astaroth و Mekotio استفاده می کنند.

Google Cloud Run به کاربران این امکان را می‌دهد تا سرویس‌ها، وب‌سایت‌ها یا برنامه‌های کاربردی جلویی و بک‌اند را مستقر کنند و حجم کاری را بدون پیچیدگی‌های مدیریت زیرساخت یا مقیاس‌گذاری مدیریت کنند. سوء استفاده از سرویس Google برای توزیع بدافزار اولین بار در سپتامبر 2023 مشاهده شد، زمانی که بازیگران برزیلی کمپین هایی را با استفاده از فایل های نصب کننده MSI برای استقرار بارهای بدافزار آغاز کردند.

مجرمان سایبری از تاکتیک های فیشینگ برای ارائه تهدیدات تروجان بانکی سوء استفاده می کنند

حملات با ایمیل‌های فیشینگ ارسال شده به قربانیان احتمالی آغاز می‌شوند که به طرز ماهرانه‌ای برای تقلید از ارتباطات واقعی مربوط به صورت‌حساب‌ها، صورت‌های مالی یا پیام‌هایی که ظاهراً از سوی دولت محلی و سازمان‌های مالیاتی ارائه می‌شوند، طراحی شده‌اند. محققان خاطرنشان می کنند که اکثر ایمیل های این کمپین به زبان اسپانیایی هستند و کشورهای آمریکای لاتین را هدف قرار می دهند، اما مواردی وجود دارد که از ایتالیایی استفاده می شود. این ایمیل‌های فریبنده حاوی پیوندهایی هستند که کاربران را به سرویس‌های وب مخربی که در Google Cloud Run میزبانی می‌شوند هدایت می‌کنند.

در سناریوهای خاصی، محموله از طریق فایل های MSI تحویل داده می شود. از طرف دیگر، این سرویس از تغییر مسیر 302 به یک مکان Google Cloud Storage استفاده می کند، جایی که یک بایگانی ZIP حاوی یک فایل تهدید کننده MSI ذخیره می شود. پس از اجرای فایل های مخرب MSI توسط قربانیان، اجزای اضافی و بارهای بارگیری شده بر روی سیستم آنها دانلود و اجرا می شوند. در موارد مشاهده شده، تحویل محموله مرحله دوم از ابزار قانونی ویندوز "BITSAdmin" سوء استفاده می کند.

برای اطمینان از پایداری و زنده ماندن راه اندازی مجدد، بدافزار با افزودن فایل های LNK ('sysupdates.setup.lnk') در پوشه Startup، خود را بر روی سیستم قربانی مستقر می کند. این فایل‌های LNK برای اجرای یک فرمان PowerShell پیکربندی شده‌اند که به نوبه خود، اسکریپت عفونت ('AutoIT') را اجرا می‌کند.

دستگاه‌های در معرض خطر آلوده به بدافزار موبایلی هستند که داده‌های مالی قربانیان را هدف قرار می‌دهند

کمپین هایی که از Google Cloud Run بهره برداری می کنند دارای سه تروجان بانکی هستند: Ousaban، Astaroth و Mekotio. هر تروجان برای نفوذ مخفیانه به سیستم ها، ایجاد پایداری و به دست آوردن غیرقانونی داده های مالی حساس برای دسترسی غیرمجاز به حساب های بانکی ساخته شده است.

Ousaban، یک تروجان بانکی، دارای قابلیت هایی مانند keylogging، گرفتن اسکرین شات و فیشینگ برای اعتبار بانکی از طریق درگاه های بانکی تقلبی (کلون شده) است. محققان مشاهده می کنند که Ousaban در مرحله بعدی در زنجیره عفونت Astaroth معرفی می شود، که نشان دهنده همکاری بالقوه بین اپراتورهای دو خانواده بدافزار یا دخالت یک عامل تهدید کننده واحد است که بر هر دو نظارت می کند.

Astaroth از تکنیک های پیشرفته فرار استفاده می کند و در ابتدا بر اهداف برزیلی تمرکز می کند، اما دامنه خود را به بیش از 300 موسسه مالی در 15 کشور در آمریکای لاتین گسترش داده است. اخیراً، این بدافزار شروع به جمع‌آوری اعتبار برای سرویس‌های مبادله ارزهای دیجیتال کرده است. Astaroth با استفاده از keylogging، ضبط صفحه و نظارت بر کلیپ بورد، نه تنها داده های حساس را به سرقت می برد، بلکه ترافیک اینترنت را برای گرفتن اعتبار بانکی رهگیری و دستکاری می کند.

Mekotio که چندین سال فعال است، در منطقه آمریکای لاتین متمرکز است. Mekotio که به سرقت اعتبارات بانکی و اطلاعات شخصی و اجرای تراکنش‌های جعلی معروف است، می‌تواند مرورگرهای وب را دستکاری کند تا کاربران را به سایت‌های فیشینگ هدایت کند.