Ousaban banku Trojas zirgs

Drošības eksperti brīdina, ka hakeri izmanto pakalpojumu Google Cloud Run, lai izplatītu lielu daudzumu banku Trojas zirgu. Kibernoziedznieki izmanto dažādus mobilo ierīču ļaunprātīgas programmatūras draudus, piemēram, Ousaban, kā arī citus banku Trojas zirgus, piemēram, Astaroth un Mekotio .

Google Cloud Run sniedz lietotājiem iespēju izvietot priekšgala un aizmugursistēmas pakalpojumus, vietnes vai lietojumprogrammas, pārvaldot darba slodzi bez infrastruktūras pārvaldības vai mērogošanas sarežģītības. Google pakalpojuma ļaunprātīga izmantošana ļaunprātīgas programmatūras izplatīšanai pirmo reizi tika novērota 2023. gada septembrī, kad Brazīlijas dalībnieki uzsāka kampaņas, kurās tika izmantoti MSI instalēšanas faili, lai izvietotu ļaunprātīgas programmatūras lietderīgās slodzes.

Kibernoziedznieki izmanto pikšķerēšanas taktiku, lai nodrošinātu banku Trojas draudus

Uzbrukumi sākas ar pikšķerēšanas e-pasta ziņojumiem, kas adresēti potenciālajiem upuriem un kas ir prasmīgi izstrādāti, lai atdarinātu patiesu saziņu saistībā ar rēķiniem, finanšu pārskatiem vai ziņojumiem, kas it kā no vietējām pašvaldībām un nodokļu aģentūrām. Pētnieki atzīmē, ka lielākā daļa e-pasta ziņojumu šajā kampaņā ir spāņu valodā, kuru mērķauditorija ir Latīņamerikas valstis, taču ir gadījumi, kad tiek izmantota itāļu valoda. Šajos maldinošajos e-pasta ziņojumos ir saites, kas novirza lietotājus uz ļaunprātīgiem tīmekļa pakalpojumiem, kas tiek mitināti pakalpojumā Google Cloud Run.

Dažos gadījumos lietderīgā slodze tiek piegādāta, izmantojot MSI failus. Alternatīvi pakalpojums izmanto 302 novirzīšanu uz Google Cloud Storage atrašanās vietu, kur tiek glabāts ZIP arhīvs, kurā ir apdraudēts MSI fails. Kad upuri izpilda ļaunprātīgos MSI failus, viņu sistēmās tiek lejupielādēti un izpildīti papildu komponenti un lietderīgās slodzes. Novērotos gadījumos otrā posma lietderīgās kravas piegāde izmanto likumīgo Windows rīku BITAdmin.

Lai nodrošinātu noturību un izdzīvotu pēc atkārtotas palaišanas, ļaunprogrammatūra nokļūst upura sistēmā, pievienojot LNK failus ('sysupdates.setup.lnk') mapē Startup. Šie LNK faili ir konfigurēti, lai izpildītu komandu PowerShell, kas savukārt palaiž infekcijas skriptu (“AutoIT”).

Kompromitētās ierīces ir inficētas ar mobilo ierīču ļaunprātīgu programmatūru, kuras mērķauditorija ir upuru finanšu dati

Kampaņās, kurās tiek izmantots Google Cloud Run, ir trīs banku Trojas zirgi: Ousaban, Astaroth un Mekotio. Katrs Trojas zirgs ir izveidots, lai zagšus iefiltrētos sistēmās, nodrošinātu noturību un nelikumīgi iegūtu sensitīvus finanšu datus, lai nesankcionēti piekļūtu banku kontiem.

Banku Trojas zirgam Ousaban ir tādas iespējas kā taustiņu reģistrēšana, ekrānuzņēmumu tveršana un banku akreditācijas datu pikšķerēšana, izmantojot viltotus (klonētus) banku portālus. Pētnieki novēroja, ka Ousaban tiek ieviests Astaroth infekcijas ķēdes vēlākā posmā, kas liecina par iespējamu sadarbību starp abu ļaundabīgo programmu ģimeņu operatoriem vai viena apdraudējuma dalībnieka iesaistīšanos, kas pārrauga abus.

Uzņēmums Astaroth izmanto progresīvas nodokļu nemaksāšanas metodes un sākotnēji koncentrējas uz Brazīlijas mērķiem, taču ir paplašinājis savu darbības jomu, iekļaujot vairāk nekā 300 finanšu iestādes 15 Latīņamerikas valstīs. Nesen ļaunprogrammatūra ir sākusi vākt akreditācijas datus kriptovalūtas maiņas pakalpojumiem. Izmantojot taustiņu reģistrēšanu, ekrāna tveršanu un starpliktuves uzraudzību, Astaroth ne tikai izkrāpj sensitīvus datus, bet arī pārtver un manipulē ar interneta trafiku, lai iegūtu bankas akreditācijas datus.

Mekotio, kas darbojas jau vairākus gadus, koncentrējas uz Latīņamerikas reģionu. Mekotio ir pazīstams ar bankas akreditācijas datu un personiskās informācijas izzagšanu un krāpniecisku darījumu veikšanu, un tas var manipulēt ar tīmekļa pārlūkprogrammām, lai novirzītu lietotājus uz pikšķerēšanas vietnēm.