Ousaban bankarski trojanac

Stručnjaci za sigurnost upozoravaju da hakeri iskorištavaju uslugu Google Cloud Run za širenje velikih količina bankarskih trojanaca. Kibernetički kriminalci koriste razne prijetnje zlonamjernim softverom za mobilne uređaje, kao što je Ousaban, zajedno s drugim bankarskim trojancima kao što su Astaroth i Mekotio .

Google Cloud Run omogućuje korisnicima da implementiraju frontend i backend usluge, web stranice ili aplikacije, upravljajući radnim opterećenjima bez složenosti upravljanja infrastrukturom ili skaliranja. Zlouporaba Googleove usluge za distribuciju zlonamjernog softvera prvi je put primijećena u rujnu 2023. kada su brazilski akteri pokrenuli kampanje koristeći MSI instalacijske datoteke za implementaciju sadržaja zlonamjernog softvera.

Kibernetički kriminalci iskorištavaju taktike krađe identiteta za isporuku prijetnji bankovnim trojancima

Napadi započinju s phishing e-porukama usmjerenim potencijalnim žrtvama, vješto osmišljenim da oponašaju istinsku komunikaciju u vezi s fakturama, financijskim izvješćima ili porukama koje navodno šalju lokalne vlasti i porezne agencije. Istraživači primjećuju da je većina e-poruka u ovoj kampanji na španjolskom, ciljajući na zemlje Latinske Amerike, ali postoje slučajevi u kojima se koristi talijanski. Ove lažne e-poruke sadrže poveznice koje preusmjeravaju korisnike na zlonamjerne web-usluge hostirane na Google Cloud Run-u.

U određenim scenarijima, teret se isporučuje kroz MSI datoteke. Alternativno, usluga koristi 302 preusmjeravanje na lokaciju Google Cloud Storage, gdje je pohranjena ZIP arhiva koja sadrži prijeteću MSI datoteku. Nakon što žrtve pokreću zlonamjerne MSI datoteke, dodatne komponente i korisni učinci preuzimaju se i izvršavaju na njihovim sustavima. U promatranim slučajevima, isporuka korisnog tereta u drugoj fazi iskorištava legitimni Windows alat 'BITSAdmin'.

Kako bi osigurao postojanost i preživio ponovna pokretanja, zlonamjerni se softver postavlja na žrtvin sustav dodavanjem LNK datoteka ('sysupdates.setup.lnk') u mapu Startup. Ove LNK datoteke konfigurirane su za izvršavanje PowerShell naredbe koja zauzvrat pokreće skriptu infekcije ('AutoIT').

Kompromitirani uređaji zaraženi su mobilnim zlonamjernim softverom koji cilja na financijske podatke žrtava

Kampanje koje iskorištavaju Google Cloud Run sadrže tri bankarska trojanaca: Ousaban, Astaroth i Mekotio. Svaki je trojanac napravljen za tajnu infiltraciju u sustave, uspostavljanje postojanosti i nezakonito dobivanje osjetljivih financijskih podataka za neovlašteni pristup bankovnim računima.

Ousaban, bankarski trojanac, posjeduje mogućnosti kao što su keylogging, snimanje zaslona i phishing bankovnih vjerodajnica putem krivotvorenih (kloniranih) bankovnih portala. Istraživači primjećuju da je Ousaban uveden u kasnijoj fazi u lancu zaraze Astarothom, što sugerira potencijalnu suradnju između operatera dviju obitelji zlonamjernog softvera ili uključenost jedne prijetnje koja nadzire obje.

Astaroth koristi napredne tehnike izbjegavanja i u početku se fokusirao na brazilske mete, ali je proširio svoj opseg na preko 300 financijskih institucija u 15 zemalja Latinske Amerike. Nedavno je zlonamjerni softver počeo prikupljati vjerodajnice za usluge razmjene kriptovaluta. Koristeći keylogging, snimanje zaslona i praćenje međuspremnika, Astaroth ne samo da krade osjetljive podatke, već i presreće i manipulira internetskim prometom kako bi uhvatio bankovne vjerodajnice.

Mekotio, aktivan već nekoliko godina, usredotočen je na regiju Latinske Amerike. Poznat po krađi bankovnih vjerodajnica i osobnih podataka te izvršavanju lažnih transakcija, Mekotio može manipulirati web preglednicima kako bi preusmjerio korisnike na stranice za krađu identiteta.