Ousaban Banking Troijalainen

Tietoturvaasiantuntijat varoittavat, että hakkerit käyttävät hyväkseen Google Cloud Run -palvelua levittääkseen suuria määriä pankkitroijalaisia. Kyberrikolliset käyttävät erilaisia mobiilihaittaohjelmauhkia, kuten Ousabania, sekä muita pankkitroijalaisia, kuten Astaroth ja Mekotio .

Google Cloud Run antaa käyttäjille mahdollisuuden ottaa käyttöön käyttöliittymä- ja taustapalveluita, verkkosivustoja tai sovelluksia ja hallita työkuormia ilman infrastruktuurin hallinnan tai skaalauksen monimutkaisuutta. Googlen haittaohjelmien jakelupalvelun väärinkäyttö havaittiin ensimmäisen kerran syyskuussa 2023, kun brasilialaiset toimijat aloittivat kampanjoita, joissa käytettiin MSI-asennustiedostoja haittaohjelmien hyötykuormien käyttöönottamiseksi.

Kyberrikolliset hyödyntävät tietojenkalastelutaktiikkaa toteuttaakseen pankkien troijalaisia uhkia

Hyökkäykset alkavat mahdollisille uhreille suunnatuilla phishing-sähköpostiviesteillä, jotka on taidokkaasti suunniteltu jäljittelemään aitoa yhteydenpitoa, joka liittyy laskuihin, tilinpäätöksiin tai viesteihin, jotka väitetään paikallishallinnolta ja veroviranomaisilta. Tutkijat huomauttavat, että suurin osa tämän kampanjan sähköposteista on espanjaksi, ja ne on kohdistettu Latinalaisen Amerikan maihin, mutta on tapauksia, joissa käytetään italiaa. Nämä harhaanjohtavat sähköpostit sisältävät linkkejä, jotka ohjaavat käyttäjät Google Cloud Runin isännöimiin haitallisiin verkkopalveluihin.

Tietyissä skenaarioissa hyötykuorma toimitetaan MSI-tiedostojen kautta. Vaihtoehtoisesti palvelu käyttää 302-uudelleenohjausta Google Cloud Storage -sijaintiin, johon on tallennettu ZIP-arkisto, joka sisältää uhkaavan MSI-tiedoston. Kun uhrit suorittavat haitallisia MSI-tiedostoja, lisäkomponentteja ja hyötykuormia ladataan ja suoritetaan heidän järjestelmiinsä. Havaituissa tapauksissa toisen vaiheen hyötykuorman toimitus hyödyntää laillista Windows-työkalua "BITSAdmin".

Pysymisen ja uudelleenkäynnistyksen selviämisen varmistamiseksi haittaohjelma asettuu uhrin järjestelmään lisäämällä LNK-tiedostoja ('sysupdates.setup.lnk') Käynnistys-kansioon. Nämä LNK-tiedostot on määritetty suorittamaan PowerShell-komento, joka puolestaan suorittaa tartuntakomentosarjan ('AutoIT').

Vaaralliset laitteet ovat saastuneet uhrien taloustietoihin kohdistetuilla mobiilihaittaohjelmilla

Google Cloud Runia hyödyntävissä kampanjoissa on kolme pankkitroijalaista: Ousaban, Astaroth ja Mekotio. Jokainen troijalainen on suunniteltu salaamaan tunkeutumaan järjestelmiin, luomaan pysyvyyttä ja hankkimaan luvattomasti arkaluontoisia taloustietoja pankkitileille pääsyä varten.

Ousaban, pankkitroijalainen, omaa ominaisuuksia, kuten näppäinten kirjaamisen, kuvakaappausten kaappaamisen ja pankkitunnuksien tietojenkalastelun väärennettyjen (kloonattujen) pankkiportaalien kautta. Tutkijat havaitsevat, että Ousaban esitellään Astarothin tartuntaketjun myöhemmässä vaiheessa, mikä viittaa mahdolliseen yhteistyöhön kahden haittaohjelmaperheen operaattoreiden välillä tai yksittäisen uhkatoimijan osallistumiseen molempiin.

Astaroth käyttää kehittyneitä evaasiotekniikoita ja keskittyy aluksi brasilialaisiin kohteisiin, mutta on laajentanut toiminta-alueensa yli 300 rahoituslaitokseen 15 maassa Latinalaisessa Amerikassa. Viime aikoina haittaohjelma on alkanut kerätä tunnistetietoja kryptovaluutanvaihtopalveluille. Hyödyntämällä näppäinlokia, näytön kaappausta ja leikepöydän valvontaa, Astaroth ei vain varasta arkaluonteisia tietoja, vaan myös sieppaa ja käsittelee Internet-liikennettä tallentaakseen pankkitunnuksia.

Useita vuosia toiminut Mekotio keskittyy Latinalaisen Amerikan alueelle. Mekotio tunnetaan pankkitunnuksien ja henkilökohtaisten tietojen ryöstöstä ja vilpillisten tapahtumien suorittamisesta. Se voi manipuloida verkkoselaimia ja ohjata käyttäjiä tietojenkalastelusivustoille.