Trojan Perbankan Ousaban

Pakar keselamatan memberi amaran bahawa penggodam mengeksploitasi perkhidmatan Google Cloud Run untuk menyebarkan sejumlah besar Trojan perbankan. Penjenayah siber menggunakan pelbagai ancaman perisian hasad mudah alih, seperti Ousaban, bersama-sama dengan Trojan perbankan lain seperti Astaroth dan Mekotio .

Google Cloud Run memberi kuasa kepada pengguna untuk menggunakan perkhidmatan bahagian hadapan dan belakang, tapak web atau aplikasi, mengurus beban kerja tanpa kerumitan pengurusan atau penskalaan infrastruktur. Penyalahgunaan perkhidmatan Google untuk pengedaran perisian hasad pertama kali diperhatikan pada September 2023 apabila pelakon Brazil memulakan kempen yang menggunakan fail pemasang MSI untuk menggunakan muatan perisian hasad.

Penjenayah Siber Mengeksploitasi Taktik Phishing untuk Menyampaikan Ancaman Trojan Perbankan

Serangan bermula dengan e-mel pancingan data yang ditujukan kepada bakal mangsa, direka dengan mahir untuk meniru komunikasi tulen yang berkaitan dengan invois, penyata kewangan atau mesej yang kononnya daripada kerajaan tempatan dan agensi cukai. Para penyelidik mendapati bahawa majoriti e-mel dalam kempen ini adalah dalam bahasa Sepanyol, menyasarkan negara di Amerika Latin, tetapi terdapat keadaan di mana bahasa Itali digunakan. E-mel mengelirukan ini mengandungi pautan yang mengubah hala pengguna ke perkhidmatan web berniat jahat yang dihoskan di Google Cloud Run.

Dalam senario tertentu, muatan dihantar melalui fail MSI. Sebagai alternatif, perkhidmatan ini menggunakan ubah hala 302 ke lokasi Storan Awan Google, tempat arkib ZIP yang mengandungi fail MSI yang mengancam disimpan. Selepas pelaksanaan fail MSI berniat jahat oleh mangsa, komponen tambahan dan muatan dimuat turun dan dilaksanakan pada sistem mereka. Dalam kes yang diperhatikan, penghantaran muatan peringkat kedua mengeksploitasi alat Windows yang sah 'BITSAdmin.'

Untuk memastikan kegigihan dan bertahan daripada but semula, perisian hasad mewujudkan dirinya pada sistem mangsa dengan menambahkan fail LNK ('sysupdates.setup.lnk') dalam folder Permulaan. Fail LNK ini dikonfigurasikan untuk melaksanakan perintah PowerShell yang, seterusnya, menjalankan skrip jangkitan ('AutoIT').

Peranti Yang Dikompromi Dijangkiti Dengan Perisian Hasad Mudah Alih Menyasarkan Data Kewangan Mangsa

Kempen yang mengeksploitasi Google Cloud Run menampilkan tiga Trojan perbankan: Ousaban, Astaroth dan Mekotio. Setiap Trojan direka untuk secara senyap-senyap menyusup ke dalam sistem, mewujudkan kegigihan, dan secara haram mendapatkan data kewangan sensitif untuk akses tanpa kebenaran kepada akaun perbankan.

Ousaban, Trojan perbankan, mempunyai keupayaan seperti pengelogan kunci, menangkap tangkapan skrin, dan pancingan data untuk kelayakan perbankan melalui portal perbankan palsu (klon). Penyelidik memerhatikan bahawa Ousaban diperkenalkan pada peringkat seterusnya dalam rantaian jangkitan Astaroth, mencadangkan potensi kerjasama antara pengendali dua keluarga perisian hasad atau penglibatan aktor ancaman tunggal yang menyelia kedua-duanya.

Astaroth menggunakan teknik pengelakan lanjutan dan pada mulanya memfokuskan pada sasaran Brazil tetapi telah meluaskan skopnya kepada lebih 300 institusi kewangan di 15 negara di Amerika Latin. Baru-baru ini, perisian hasad telah mula mengumpul bukti kelayakan untuk perkhidmatan pertukaran mata wang kripto. Menggunakan pengelogan kekunci, tangkapan skrin dan pemantauan papan keratan, Astaroth bukan sahaja mencuri data sensitif tetapi juga memintas dan memanipulasi trafik internet untuk menangkap bukti kelayakan perbankan.

Mekotio, aktif selama beberapa tahun, menumpukan perhatian di rantau Amerika Latin. Terkenal kerana mencuri bukti kelayakan perbankan dan maklumat peribadi serta melaksanakan transaksi penipuan, Mekotio boleh memanipulasi pelayar web untuk mengubah hala pengguna ke tapak pancingan data.