Ousaban बैंकिंग ट्रोजन
सुरक्षा विशेषज्ञ सावधान करते हैं कि हैकर्स बड़ी मात्रा में बैंकिंग ट्रोजन प्रसारित करने के लिए Google क्लाउड रन सेवा का शोषण कर रहे हैं। साइबर अपराधी विभिन्न मोबाइल मैलवेयर खतरों का उपयोग कर रहे हैं, जैसे ओसाबन, साथ ही एस्ट्रोथ और मेकोटियो जैसे अन्य बैंकिंग ट्रोजन।
Google क्लाउड रन उपयोगकर्ताओं को बुनियादी ढांचे प्रबंधन या स्केलिंग की जटिलताओं के बिना कार्यभार प्रबंधित करते हुए फ्रंटएंड और बैकएंड सेवाओं, वेबसाइटों या एप्लिकेशन को तैनात करने का अधिकार देता है। मैलवेयर वितरण के लिए Google की सेवा का दुरुपयोग पहली बार सितंबर 2023 में देखा गया था जब ब्राज़ीलियाई अभिनेताओं ने मैलवेयर पेलोड को तैनात करने के लिए MSI इंस्टॉलर फ़ाइलों को नियोजित करने वाले अभियान शुरू किए थे।
साइबर अपराधी बैंकिंग ट्रोजन खतरे पहुंचाने के लिए फ़िशिंग रणनीति का उपयोग करते हैं
हमले संभावित पीड़ितों को निर्देशित फ़िशिंग ईमेल से शुरू होते हैं, जिन्हें कुशलतापूर्वक चालान, वित्तीय विवरण, या स्थानीय सरकार और कर एजेंसियों के संदेशों से संबंधित वास्तविक संचार की नकल करने के लिए डिज़ाइन किया गया है। शोधकर्ताओं ने ध्यान दिया कि इस अभियान में अधिकांश ईमेल स्पेनिश में हैं, जो लैटिन अमेरिका के देशों को लक्षित करते हैं, लेकिन ऐसे उदाहरण भी हैं जहां इतालवी का उपयोग किया जाता है। इन भ्रामक ईमेल में ऐसे लिंक होते हैं जो उपयोगकर्ताओं को Google क्लाउड रन पर होस्ट की गई दुर्भावनापूर्ण वेब सेवाओं पर पुनर्निर्देशित करते हैं।
कुछ परिदृश्यों में, पेलोड एमएसआई फ़ाइलों के माध्यम से वितरित किया जाता है। वैकल्पिक रूप से, सेवा Google क्लाउड स्टोरेज स्थान पर 302 रीडायरेक्ट को नियोजित करती है, जहां एक खतरनाक एमएसआई फ़ाइल वाला ज़िप संग्रह संग्रहीत होता है। पीड़ितों द्वारा दुर्भावनापूर्ण एमएसआई फ़ाइलों के निष्पादन पर, अतिरिक्त घटकों और पेलोड को उनके सिस्टम पर डाउनलोड और निष्पादित किया जाता है। देखे गए मामलों में, दूसरे चरण की पेलोड डिलीवरी वैध विंडोज टूल 'BITSAdmin' का शोषण करती है।
दृढ़ता सुनिश्चित करने और रिबूट से बचे रहने के लिए, मैलवेयर स्टार्टअप फ़ोल्डर में LNK फ़ाइलें ('sysupdates.setup.lnk') जोड़कर पीड़ित के सिस्टम पर खुद को स्थापित कर लेता है। ये LNK फ़ाइलें PowerShell कमांड निष्पादित करने के लिए कॉन्फ़िगर की गई हैं, जो बदले में, संक्रमण स्क्रिप्ट ('ऑटोआईटी') चलाती हैं।
प्रभावित डिवाइस पीड़ितों के वित्तीय डेटा को लक्षित करने वाले मोबाइल मैलवेयर से संक्रमित होते हैं
Google क्लाउड रन का उपयोग करने वाले अभियानों में तीन बैंकिंग ट्रोजन शामिल हैं: ओसाबन, एस्ट्रोथ और मेकोटियो। प्रत्येक ट्रोजन को गुप्त रूप से सिस्टम में घुसपैठ करने, दृढ़ता स्थापित करने और बैंकिंग खातों तक अनधिकृत पहुंच के लिए संवेदनशील वित्तीय डेटा को अवैध रूप से प्राप्त करने के लिए तैयार किया गया है।
ओसाबन, एक बैंकिंग ट्रोजन, में कीलॉगिंग, स्क्रीनशॉट कैप्चर करने और नकली (क्लोन) बैंकिंग पोर्टल के माध्यम से बैंकिंग क्रेडेंशियल के लिए फ़िशिंग जैसी क्षमताएं हैं। शोधकर्ताओं का मानना है कि ओसाबैन को एस्ट्रोथ संक्रमण श्रृंखला में बाद के चरण में पेश किया गया है, जो दो मैलवेयर परिवारों के ऑपरेटरों के बीच संभावित सहयोग या दोनों की देखरेख करने वाले एक ही खतरे वाले अभिनेता की भागीदारी का सुझाव देता है।
एस्ट्रोथ उन्नत चोरी तकनीकों का उपयोग करता है और शुरू में ब्राजीलियाई लक्ष्यों पर ध्यान केंद्रित करता है लेकिन लैटिन अमेरिका के 15 देशों में 300 से अधिक वित्तीय संस्थानों तक इसका दायरा बढ़ा दिया है। हाल ही में, मैलवेयर ने क्रिप्टोकरेंसी एक्सचेंज सेवाओं के लिए क्रेडेंशियल एकत्र करना शुरू कर दिया है। कीलॉगिंग, स्क्रीन कैप्चर और क्लिपबोर्ड मॉनिटरिंग का उपयोग करते हुए, एस्ट्रोथ न केवल संवेदनशील डेटा चुराता है, बल्कि बैंकिंग क्रेडेंशियल्स को कैप्चर करने के लिए इंटरनेट ट्रैफ़िक को भी रोकता है और उसमें हेरफेर करता है।
कई वर्षों से सक्रिय मेकोटियो, लैटिन अमेरिकी क्षेत्र पर ध्यान केंद्रित करता है। बैंकिंग क्रेडेंशियल और व्यक्तिगत जानकारी चुराने और धोखाधड़ी वाले लेनदेन को अंजाम देने के लिए जाना जाने वाला मेकोटियो उपयोगकर्ताओं को फ़िशिंग साइटों पर पुनर्निर्देशित करने के लिए वेब ब्राउज़र में हेरफेर कर सकता है।
