Ousaban 뱅킹 트로이목마

보안 전문가들은 해커들이 Google Cloud Run 서비스를 악용하여 대량의 뱅킹 트로이 목마를 유포하고 있다고 경고합니다. 사이버 범죄자들은 Astaroth 및 Mekotio 와 같은 다른 은행 트로이 목마와 함께 Ousaban과 같은 다양한 모바일 악성 코드 위협을 활용하고 있습니다.

Google Cloud Run을 사용하면 사용자가 프런트엔드 및 백엔드 서비스, 웹사이트, 애플리케이션을 배포하고 인프라 관리나 확장의 복잡성 없이 워크로드를 관리할 수 있습니다. 맬웨어 배포를 위해 Google 서비스를 오용하는 현상은 2023년 9월 브라질 공격자가 MSI 설치 프로그램 파일을 사용하여 맬웨어 페이로드를 배포하는 캠페인을 시작했을 때 처음으로 관찰되었습니다.

사이버 범죄자들은 피싱 전술을 악용하여 뱅킹 트로이 목마 위협을 전달합니다.

공격은 잠재적인 피해자를 대상으로 하는 피싱 이메일로 시작됩니다. 이 이메일은 청구서, 재무제표 또는 지방 정부 및 세무 기관에서 보낸 것으로 알려진 메시지와 관련된 실제 통신을 모방하도록 교묘하게 설계되었습니다. 연구원들은 이 캠페인의 이메일 대부분이 라틴 아메리카 국가를 대상으로 스페인어로 작성되었지만 이탈리아어가 사용되는 경우도 있다는 점에 주목했습니다. 이러한 사기성 이메일에는 Google Cloud Run에서 호스팅되는 악성 웹 서비스로 사용자를 리디렉션하는 링크가 포함되어 있습니다.

특정 시나리오에서는 페이로드가 MSI 파일을 통해 전달됩니다. 또는 이 서비스는 위협적인 MSI 파일이 포함된 ZIP 아카이브가 저장되어 있는 Google Cloud Storage 위치로 302 리디렉션을 사용합니다. 피해자가 악성 MSI 파일을 실행하면 추가 구성 요소와 페이로드가 시스템에 다운로드되어 실행됩니다. 관찰된 경우 2단계 페이로드 전달은 합법적인 Windows 도구 'BITSAdmin'을 악용합니다.

지속성을 보장하고 재부팅 후에도 살아남기 위해 악성코드는 시작 폴더에 LNK 파일('sysupdates.setup.lnk')을 추가하여 피해자의 시스템에 스스로를 확립합니다. 이러한 LNK 파일은 PowerShell 명령을 실행하여 감염 스크립트('AutoIT')를 실행하도록 구성됩니다.

손상된 장치는 피해자의 금융 데이터를 표적으로 삼는 모바일 악성 코드에 감염됩니다.

Google Cloud Run을 악용하는 캠페인에는 Ousaban, Astaroth 및 Mekotio라는 세 가지 뱅킹 트로이 목마가 있습니다. 각 트로이 목마는 시스템에 은밀하게 침투하여 지속성을 확립하고 은행 계좌에 대한 무단 액세스를 위해 민감한 금융 데이터를 불법적으로 획득하도록 제작되었습니다.

뱅킹 트로이목마인 Ousaban은 위조(복제) 뱅킹 포털을 통해 키로깅, 스크린샷 캡처, 은행 자격 증명 피싱 등의 기능을 보유하고 있습니다. 연구원들은 Ousaban이 Astaroth 감염 체인의 후반 단계에 도입된 것을 관찰했습니다. 이는 두 악성코드 계열의 운영자 간의 잠재적인 협력 또는 두 악성코드군을 감독하는 단일 위협 행위자의 개입 가능성을 시사합니다.

Astaroth는 고급 회피 기술을 사용하고 처음에는 브라질 대상에 초점을 맞추었지만 라틴 아메리카 15개국의 300개 이상의 금융 기관으로 범위를 확장했습니다. 최근 악성코드는 암호화폐 교환 서비스에 대한 자격 증명을 수집하기 시작했습니다. Astaroth는 키로깅, 화면 캡처 및 클립보드 모니터링을 활용하여 민감한 데이터를 훔칠 뿐만 아니라 인터넷 트래픽을 가로채고 조작하여 은행 자격 증명을 캡처합니다.

수년간 활동해온 Mekotio는 라틴 아메리카 지역에 집중하고 있습니다. 은행 자격 증명과 개인 정보를 훔치고 사기 거래를 실행하는 것으로 알려진 Mekotio는 웹 브라우저를 조작하여 사용자를 피싱 사이트로 리디렉션할 수 있습니다.