Trojan bancario Ousaban

Gli esperti di sicurezza avvertono che gli hacker stanno sfruttando il servizio Google Cloud Run per diffondere grandi quantità di trojan bancari. I criminali informatici utilizzano varie minacce malware mobili, come Ousaban, insieme ad altri trojan bancari come Astaroth e Mekotio .

Google Cloud Run consente agli utenti di implementare servizi frontend e backend, siti Web o applicazioni, gestendo i carichi di lavoro senza le complessità della gestione o della scalabilità dell'infrastruttura. L'uso improprio del servizio di Google per la distribuzione di malware è stato osservato per la prima volta nel settembre 2023, quando alcuni attori brasiliani hanno avviato campagne utilizzando file di installazione MSI per distribuire payload di malware.

I criminali informatici sfruttano tattiche di phishing per diffondere minacce trojan bancari

Gli attacchi iniziano con e-mail di phishing dirette a potenziali vittime, abilmente progettate per imitare comunicazioni autentiche relative a fatture, rendiconti finanziari o messaggi presumibilmente provenienti dal governo locale e dalle agenzie fiscali. I ricercatori notano che la maggior parte delle e-mail di questa campagna sono in spagnolo e sono destinate ai paesi dell'America Latina, ma ci sono casi in cui viene utilizzato l'italiano. Queste email ingannevoli contengono collegamenti che reindirizzano gli utenti a servizi Web dannosi ospitati su Google Cloud Run.

In alcuni scenari, il payload viene distribuito tramite file MSI. In alternativa, il servizio utilizza un reindirizzamento 302 a una posizione di Google Cloud Storage, dove è archiviato un archivio ZIP contenente un file MSI minaccioso. Dopo l'esecuzione dei file MSI dannosi da parte delle vittime, componenti e payload aggiuntivi vengono scaricati ed eseguiti sui loro sistemi. Nei casi osservati, la consegna del payload della seconda fase sfrutta lo strumento legittimo di Windows "BITSAdmin".

Per garantire la persistenza e sopravvivere ai riavvii, il malware si installa nel sistema della vittima aggiungendo file LNK ("sysupdates.setup.lnk") nella cartella Esecuzione automatica. Questi file LNK sono configurati per eseguire un comando PowerShell che, a sua volta, esegue lo script di infezione ("AutoIT").

I dispositivi compromessi vengono infettati da malware mobile che prende di mira i dati finanziari delle vittime

Le campagne che sfruttano Google Cloud Run presentano tre trojan bancari: Ousaban, Astaroth e Mekotio. Ogni Trojan è realizzato per infiltrarsi furtivamente nei sistemi, stabilire una persistenza e ottenere illecitamente dati finanziari sensibili per l'accesso non autorizzato ai conti bancari.

Ousaban, un trojan bancario, possiede funzionalità come keylogging, acquisizione di screenshot e phishing per ottenere credenziali bancarie attraverso portali bancari contraffatti (clonati). I ricercatori osservano che Ousaban viene introdotto in una fase successiva nella catena di infezione di Astaroth, suggerendo una potenziale collaborazione tra gli operatori delle due famiglie di malware o il coinvolgimento di un singolo attore della minaccia che supervisiona entrambe.

Astaroth impiega tecniche di evasione avanzate e inizialmente si concentra su obiettivi brasiliani, ma ha ampliato il suo raggio d'azione a oltre 300 istituti finanziari in 15 paesi dell'America Latina. Recentemente, il malware ha iniziato a raccogliere credenziali per i servizi di scambio di criptovaluta. Utilizzando il keylogging, l'acquisizione di schermate e il monitoraggio degli appunti, Astaroth non solo ruba dati sensibili, ma intercetta e manipola anche il traffico Internet per acquisire credenziali bancarie.

Mekotio, attiva da diversi anni, si concentra sulla regione dell'America Latina. Noto per il furto di credenziali bancarie e informazioni personali e per l'esecuzione di transazioni fraudolente, Mekotio può manipolare i browser Web per reindirizzare gli utenti a siti di phishing.