Ousaban Banking Trojos arklys

Saugumo ekspertai perspėja, kad įsilaužėliai naudojasi „Google Cloud Run“ paslauga, kad platintų didelius bankinių Trojos arklių kiekius. Kibernetiniai nusikaltėliai naudoja įvairias mobiliųjų kenkėjiškų programų grėsmes, tokias kaip Ousaban, kartu su kitais bankininkystės Trojos arkliais, tokiais kaip Astaroth ir Mekotio .

„Google Cloud Run“ įgalina naudotojus diegti priekinės ir užpakalinės sistemos paslaugas, svetaines ar programas, valdydami darbo krūvius be sudėtingų infrastruktūros valdymo ar mastelio keitimo. Piktnaudžiavimas „Google“ kenkėjiškų programų platinimo paslauga pirmą kartą buvo pastebėtas 2023 m. rugsėjį, kai Brazilijos veikėjai inicijavo kampanijas, kuriose naudojami MSI diegimo failai kenkėjiškų programų naudingosioms apkrovoms įdiegti.

Kibernetiniai nusikaltėliai išnaudoja sukčiavimo taktiką, kad sukeltų bankų Trojos arklys

Atakos prasideda nuo sukčiavimo el. laiškų, skirtų potencialioms aukoms, sumaniai sukurtais imituoti tikrus ryšius, susijusius su sąskaitomis faktūromis, finansinėmis ataskaitomis ar pranešimais, tariamai iš vietos valdžios ir mokesčių agentūrų. Tyrėjai pažymi, kad dauguma šios kampanijos el. laiškų yra ispanų kalba, skirti Lotynų Amerikos šalims, tačiau yra atvejų, kai naudojama italų kalba. Šiuose apgaulinguose el. laiškuose yra nuorodų, kurios nukreipia naudotojus į kenkėjiškas žiniatinklio paslaugas, priglobtas „Google Cloud Run“.

Tam tikrais atvejais naudingoji apkrova pristatoma per MSI failus. Arba paslauga naudoja 302 peradresavimą į „Google Cloud Storage“ vietą, kur saugomas ZIP archyvas, kuriame yra grėsmingas MSI failas. Kai aukos vykdo kenkėjiškus MSI failus, jų sistemose atsisiunčiami ir vykdomi papildomi komponentai ir naudingieji kroviniai. Stebėtais atvejais antrosios pakopos naudingosios apkrovos pristatymas išnaudoja teisėtą „Windows“ įrankį „BITSAdmin“.

Siekiant užtikrinti išlikimą ir išgyventi perkrovimus, kenkėjiška programa įsitvirtina aukos sistemoje, įtraukdama LNK failus ('sysupdates.setup.lnk') į paleisties aplanką. Šie LNK failai sukonfigūruoti vykdyti PowerShell komandą, kuri savo ruožtu paleidžia infekcijos scenarijų („AutoIT“).

Pažeisti įrenginiai yra užkrėsti mobiliosiomis kenkėjiškomis programomis, nukreiptomis į aukų finansinius duomenis

Kampanijose, kuriose naudojamas „Google Cloud Run“, yra trys bankininkystės Trojos arklys: „Ousaban“, „Astaroth“ ir „Mekotio“. Kiekvienas Trojos arklys yra sukurtas taip, kad slapta įsiskverbtų į sistemas, užtikrintų pastovumą ir neteisėtai gautų neskelbtinus finansinius duomenis neteisėtai prieigai prie banko sąskaitų.

„Ousaban“, bankininkystės Trojos arklys, turi tokias funkcijas kaip klaviatūros registravimas, ekrano kopijų fiksavimas ir sukčiavimas, siekiant gauti banko kredencialus per suklastotus (klonuotus) bankininkystės portalus. Tyrėjai pastebi, kad Ousabanas pristatomas vėlesniame Astaroth infekcijos grandinės etape, o tai rodo galimą dviejų kenkėjiškų programų šeimų operatorių bendradarbiavimą arba vieno grėsmės veikėjo, prižiūrinčio abi, dalyvavimą.

„Astaroth“ naudoja pažangias vengimo technologijas ir iš pradžių daugiausia dėmesio skiria Brazilijos taikiniams, tačiau išplėtė savo veiklos sritį, įtraukdama daugiau nei 300 finansinių institucijų 15 Lotynų Amerikos šalių. Neseniai kenkėjiška programa pradėjo rinkti kriptovaliutų keitimo paslaugų kredencialus. Naudodama klaviatūros registravimą, ekrano fiksavimą ir iškarpinės stebėjimą, „Astaroth“ ne tik vagia slaptus duomenis, bet ir perima bei manipuliuoja interneto srautu, kad užfiksuotų banko kredencialus.

„Mekotio“, veikiantis keletą metų, daugiausia dėmesio skiria Lotynų Amerikos regionui. Žinomas dėl bankininkystės kredencialų ir asmeninės informacijos grobstymo bei apgaulingų operacijų vykdymo, „Mekotio“ gali manipuliuoti žiniatinklio naršyklėmis, kad nukreiptų vartotojus į sukčiavimo svetaines.