Ousaban Banking Trojan

Sikkerhetseksperter advarer om at hackere utnytter Google Cloud Run-tjenesten for å spre store mengder banktrojanere. Nettkriminelle bruker ulike mobile malware-trusler, som Ousaban, sammen med andre banktrojanere som Astaroth og Mekotio .

Google Cloud Run gir brukere mulighet til å distribuere frontend- og backend-tjenester, nettsteder eller applikasjoner, administrere arbeidsbelastninger uten kompleksiteten med infrastrukturadministrasjon eller skalering. Misbruk av Googles tjeneste for distribusjon av skadelig programvare ble først observert i september 2023 da brasilianske aktører startet kampanjer som brukte MSI-installasjonsfiler for å distribuere skadelig programvare.

Nettkriminelle utnytter phishing-taktikker for å levere trojanske banktrusler

Angrepene starter med phishing-e-poster rettet mot potensielle ofre, dyktig utformet for å etterligne ekte kommunikasjon knyttet til fakturaer, regnskaper eller meldinger som angivelig kommer fra lokale myndigheter og skattebyråer. Forskerne legger merke til at flertallet av e-postene i denne kampanjen er på spansk, rettet mot land i Latin-Amerika, men det er tilfeller der italiensk brukes. Disse villedende e-postene inneholder lenker som omdirigerer brukere til ondsinnede nettjenester som er vert for Google Cloud Run.

I visse scenarier leveres nyttelasten gjennom MSI-filer. Alternativt bruker tjenesten en 302-viderekobling til et Google Cloud Storage-sted, hvor et ZIP-arkiv som inneholder en truende MSI-fil lagres. Ved kjøring av de ondsinnede MSI-filene av ofre, lastes tilleggskomponenter og nyttelast ned og kjøres på deres systemer. I observerte tilfeller utnytter andretrinns nyttelastlevering det legitime Windows-verktøyet 'BITSAdmin'.

For å sikre utholdenhet og overleve omstarter, etablerer skadelig programvare seg på offerets system ved å legge til LNK-filer ('sysupdates.setup.lnk') i oppstartsmappen. Disse LNK-filene er konfigurert til å utføre en PowerShell-kommando som igjen kjører infeksjonsskriptet ('AutoIT').

Kompromitterte enheter er infisert med mobil skadelig programvare rettet mot ofrenes økonomiske data

Kampanjene som utnytter Google Cloud Run inneholder tre banktrojanere: Ousaban, Astaroth og Mekotio. Hver trojaner er laget for å snikende infiltrere systemer, etablere utholdenhet og ulovlig innhente sensitive økonomiske data for uautorisert tilgang til bankkontoer.

Ousaban, en banktrojaner, har funksjoner som tastelogging, ta skjermbilder og phishing for banklegitimasjon gjennom falske (klonede) bankportaler. Forskere observerer at Ousaban introduseres på et senere tidspunkt i Astaroth-infeksjonskjeden, noe som antyder et potensielt samarbeid mellom operatørene av de to malwarefamiliene eller involvering av en enkelt trusselaktør som overvåker begge.

Astaroth bruker avanserte unnvikelsesteknikker og fokuserer i utgangspunktet på brasilianske mål, men har utvidet omfanget til over 300 finansinstitusjoner i 15 land i Latin-Amerika. Nylig har skadelig programvare begynt å samle inn legitimasjon for utvekslingstjenester for kryptovaluta. Ved å bruke tastelogging, skjermfangst og overvåking av utklippstavle, stjeler Astaroth ikke bare sensitive data, men fanger også opp og manipulerer internetttrafikk for å fange banklegitimasjon.

Mekotio, som har vært aktiv i flere år, konsentrerer seg om den latinamerikanske regionen. Mekotio er kjent for å stjele banklegitimasjon og personlig informasjon og utføre uredelige transaksjoner, og kan manipulere nettlesere for å omdirigere brukere til phishing-sider.