Ousaban Banking Trojan

מומחי אבטחה מזהירים שהאקרים מנצלים את שירות Google Cloud Run כדי להפיץ כמויות גדולות של סוסים טרויאניים בנקאיים. פושעי סייבר משתמשים באיומים שונים של תוכנות זדוניות ניידות, כמו Ousaban, יחד עם סוסים טרויאניים בנקאיים אחרים כמו Astaroth ו- Mekotio .

ה-Google Cloud Run מאפשר למשתמשים לפרוס שירותי Frontend ו-backend, אתרים או יישומים, ניהול עומסי עבודה ללא המורכבות של ניהול תשתית או קנה מידה. השימוש לרעה בשירות של גוגל להפצת תוכנות זדוניות נצפה לראשונה בספטמבר 2023 כאשר שחקנים ברזילאים יזמו מסעות פרסום המשתמשים בקובצי מתקין MSI כדי לפרוס מטענים של תוכנות זדוניות.

פושעי סייבר מנצלים טקטיקות דיוג כדי לספק איומים טרויאניים בנקאיים

ההתקפות מתחילות בדוא"ל פישינג המכוונות לקורבנות פוטנציאליים, שתוכננו במיומנות כדי לחקות תקשורת אמיתית הקשורה לחשבוניות, דוחות כספיים או הודעות לכאורה מרשויות מקומיות וסוכנויות מס. החוקרים מציינים שרוב המיילים במסע פרסום זה הם בספרדית, ממוקדים למדינות באמריקה הלטינית, אך ישנם מקרים בהם נעשה שימוש באיטלקית. הודעות דוא"ל מטעות אלה מכילות קישורים המפנים משתמשים לשירותי אינטרנט זדוניים המתארחים ב-Google Cloud Run.

בתרחישים מסוימים, המטען מועבר באמצעות קבצי MSI. לחלופין, השירות משתמש בהפניה 302 למיקום Google Cloud Storage, שבו מאוחסן ארכיון ZIP המכיל קובץ MSI מאיים. עם ביצוע קבצי MSI הזדוניים על ידי הקורבנות, מורידים רכיבים ומטענים נוספים ומבוצעים במערכות שלהם. במקרים שנצפו, אספקת המטען בשלב השני מנצלת את הכלי הלגיטימי של Windows 'BITSAdmin'.

כדי להבטיח התמדה ולשרוד אתחולים מחדש, התוכנה הזדונית מתבססת על המערכת של הקורבן על ידי הוספת קבצי LNK ('sysupdates.setup.lnk') בתיקיית ההפעלה. קבצי LNK אלו מוגדרים לביצוע פקודת PowerShell אשר, בתורה, מריץ את סקריפט ההדבקה ('AutoIT').

מכשירים שנפגעו נגועים בתוכנה זדונית ניידת המכוונת לנתונים הפיננסיים של קורבנות

הקמפיינים המנצלים את Google Cloud Run כוללים שלושה סוסים טרויאניים בנקאיים: Ousaban, Astaroth ומקוטיו. כל טרויאני מעוצב כדי לחדור בגנבה למערכות, לבסס התמדה ולהשיג באופן לא חוקי נתונים פיננסיים רגישים לגישה לא מורשית לחשבונות בנק.

Ousaban, טרויאני בנקאי, מחזיק ביכולות כגון רישום מפתחות, לכידת צילומי מסך ודיוג עבור אישורי בנק באמצעות פורטלים בנקאי מזויפים (משובטים). חוקרים מבחינים כי Ousaban מוצג בשלב מאוחר יותר בשרשרת ההדבקה של Astaroth, דבר המצביע על שיתוף פעולה פוטנציאלי בין המפעילים של שתי משפחות התוכנה הזדוניות או על מעורבות של גורם איום יחיד המפקח על שניהם.

Astaroth משתמשת בטכניקות התחמקות מתקדמות ומתמקדת בתחילה ביעדים ברזילאים אך הרחיבה את היקפו ליותר מ-300 מוסדות פיננסיים ב-15 מדינות באמריקה הלטינית. לאחרונה, התוכנה הזדונית החלה לאסוף אישורים עבור שירותי החלפת מטבעות קריפטוגרפיים. באמצעות רישום מקשים, לכידת מסך וניטור לוח, Astaroth לא רק גוזל נתונים רגישים אלא גם מיירט ומבצע מניפולציות של תעבורת אינטרנט כדי ללכוד אישורי בנק.

Mekotio, פעילה מזה מספר שנים, מתרכזת באזור אמריקה הלטינית. ידועה בגניבת אישורי בנק ומידע אישי ובביצוע עסקאות הונאה, Mekotio יכולה לתמרן דפדפני אינטרנט כדי להפנות משתמשים לאתרי דיוג.