Ousaban banki trójai

Biztonsági szakértők arra figyelmeztetnek, hogy a hackerek a Google Cloud Run szolgáltatást használják nagy mennyiségű banki trójai terjesztésére. A kiberbűnözők különféle rosszindulatú mobilfenyegetéseket használnak, mint például az Ousaban, valamint más banki trójaiakat, mint például az Astaroth és a Mekotio .

A Google Cloud Run lehetővé teszi a felhasználók számára, hogy előtér- és háttérszolgáltatásokat, webhelyeket vagy alkalmazásokat telepítsenek, így kezelhetik a terheléseket az infrastruktúra-kezelés vagy a méretezés bonyolultsága nélkül. A Google rosszindulatú programok terjesztésére szolgáló szolgáltatásával való visszaélést először 2023 szeptemberében figyelték meg, amikor brazil szereplők kampányokat kezdeményeztek, amelyekben MSI telepítőfájlokat használtak a rosszindulatú programok rakományainak telepítésére.

A kiberbűnözők adathalász taktikákat használnak ki a banki trójai fenyegetések elhárítására

A támadások a potenciális áldozatoknak szóló adathalász e-mailekkel kezdődnek, amelyek ügyesen úgy lettek megtervezve, hogy utánozzák a számlákkal, pénzügyi kimutatásokkal vagy állítólagos önkormányzatoktól és adóhivataloktól érkező üzenetekkel kapcsolatos valódi kommunikációt. A kutatók megjegyzik, hogy ebben a kampányban a legtöbb e-mail spanyol nyelvű, latin-amerikai országokat célozva meg, de vannak olyan esetek, amikor olasz nyelvet használnak. Ezek a megtévesztő e-mailek linkeket tartalmaznak, amelyek a Google Cloud Run szolgáltatásban tárolt rosszindulatú webszolgáltatásokhoz irányítják át a felhasználókat.

Bizonyos forgatókönyvek esetén a hasznos adatot MSI-fájlokon keresztül szállítják. Alternatív megoldásként a szolgáltatás 302-es átirányítást alkalmaz a Google Cloud Storage helyére, ahol egy fenyegető MSI-fájlt tartalmazó ZIP-archívumot tárolnak. Amikor az áldozatok végrehajtják a rosszindulatú MSI-fájlokat, további összetevők és rakományok töltődnek le és futnak le a rendszerükön. A megfigyelt esetekben a másodlagos rakományszállítás a legális Windows „BITSAdmin” eszközt használja ki.

A tartósság és az újraindítások túlélése érdekében a rosszindulatú program az LNK-fájlok ('sysupdates.setup.lnk') hozzáadásával az áldozat rendszerébe kerül az Indítási mappába. Ezek az LNK-fájlok PowerShell-parancs végrehajtására vannak beállítva, amely viszont a fertőzési szkriptet („AutoIT”) futtatja.

A feltört eszközöket mobil rosszindulatú szoftverek fertőzik meg, amelyek az áldozatok pénzügyi adatait célozzák meg

A Google Cloud Run-ot kihasználó kampányok három banki trójai programot tartalmaznak: Ousaban, Astaroth és Mekotio. Mindegyik trójai úgy van kialakítva, hogy lopva behatoljon a rendszerekbe, biztosítsa a tartósságot, és illegálisan bizalmas pénzügyi adatokhoz jusson bankszámlákhoz való jogosulatlan hozzáférés érdekében.

Az Ousaban, egy banki trójai olyan képességekkel rendelkezik, mint a billentyűnaplózás, képernyőképek rögzítése és a banki hitelesítő adatok hamisított (klónozott) banki portálokon keresztüli adathalászata. A kutatók megfigyelték, hogy az Ousaban az Astaroth fertőzési lánc későbbi szakaszában kerül bevezetésre, ami a két rosszindulatú programcsalád üzemeltetői közötti lehetséges együttműködésre vagy egyetlen fenyegetési szereplő részvételére utal, aki mindkettőt felügyeli.

Az Astaroth fejlett adócsalási technikákat alkalmaz, és kezdetben a brazil célokra összpontosít, de hatókörét kiterjesztette több mint 300 pénzintézetre 15 latin-amerikai országban. A közelmúltban a rosszindulatú program hitelesítő adatokat gyűjtött a kriptovaluta csereszolgáltatásokhoz. A billentyűnaplózást, a képernyőrögzítést és a vágólap-figyelést alkalmazva az Astaroth nemcsak érzékeny adatokat lop el, hanem az internetes forgalmat is elfogja és manipulálja a banki hitelesítő adatok rögzítése érdekében.

A több éve működő Mekotio a latin-amerikai régióra koncentrál. A banki hitelesítő adatok és személyes adatok ellopásáról, valamint csalárd tranzakciók végrehajtásáról ismert Mekotio képes manipulálni a webböngészőket, hogy átirányítsa a felhasználókat az adathalász webhelyekre.