Ousaban बैंकिङ ट्रोजन
ह्याकरहरूले ठूलो मात्रामा बैंकिङ ट्रोजनहरू फैलाउन गुगल क्लाउड रन सेवाको दुरुपयोग गरिरहेका छन् भनी सुरक्षा विशेषज्ञहरूले चेतावनी दिएका छन्। साइबर अपराधीहरूले विभिन्न मोबाइल मालवेयर धम्कीहरू प्रयोग गरिरहेका छन्, जस्तै Ousaban, Astaroth र Mekotio जस्ता अन्य बैंकिङ ट्रोजनहरूसँग।
Google क्लाउड रनले प्रयोगकर्ताहरूलाई पूर्वाधार व्यवस्थापन वा स्केलिंगको जटिलताहरू बिना कार्यभारहरू प्रबन्ध गर्न फ्रन्टएन्ड र ब्याकएन्ड सेवाहरू, वेबसाइटहरू, वा अनुप्रयोगहरू प्रयोग गर्न सक्षम बनाउँछ। मालवेयर वितरणको लागि Google को सेवाको दुरुपयोग पहिलो पटक सेप्टेम्बर 2023 मा देखियो जब ब्राजिलियन कलाकारहरूले मालवेयर पेलोडहरू प्रयोग गर्न MSI स्थापनाकर्ता फाइलहरू प्रयोग गर्ने अभियानहरू सुरु गरे।
साइबर अपराधीहरूले बैंकिङ ट्रोजन धम्कीहरू डेलिभर गर्न फिसिङ रणनीतिहरू प्रयोग गर्छन्
आक्रमणहरू सम्भावित पीडितहरूलाई निर्देशित फिसिङ इमेलहरूबाट सुरु हुन्छ, चलानीहरू, वित्तीय विवरणहरू, वा स्थानीय सरकार र कर एजेन्सीहरूबाट कथित रूपमा सन्देशहरूसँग सम्बन्धित वास्तविक सञ्चारको नक्कल गर्न कुशलतापूर्वक डिजाइन गरिएको। अन्वेषकहरूले नोट गर्छन् कि यस अभियानमा अधिकांश इमेलहरू स्पेनिश भाषामा छन्, ल्याटिन अमेरिकाका देशहरूलाई लक्षित गर्दै, तर त्यहाँ इटालियन प्रयोग भएको उदाहरणहरू छन्। यी भ्रामक इमेलहरूमा लिङ्कहरू हुन्छन् जसले प्रयोगकर्ताहरूलाई Google क्लाउड रनमा होस्ट गरिएका मालिसियस वेब सेवाहरूमा रिडिरेक्ट गर्छ।
केहि परिदृश्यहरूमा, पेलोड MSI फाइलहरू मार्फत डेलिभर गरिन्छ। वैकल्पिक रूपमा, सेवाले Google क्लाउड भण्डारण स्थानमा 302 रिडिरेक्टलाई रोजगार दिन्छ, जहाँ एउटा खतरा MSI फाइल समावेश भएको ZIP अभिलेख भण्डार गरिएको छ। पीडितहरूद्वारा दुर्भावनापूर्ण MSI फाइलहरूको कार्यान्वयनमा, अतिरिक्त कम्पोनेन्टहरू र पेलोडहरू डाउनलोड हुन्छन् र तिनीहरूको प्रणालीहरूमा कार्यान्वयन हुन्छन्। अवलोकन गरिएका केसहरूमा, दोस्रो चरणको पेलोड डेलिभरीले वैध विन्डोज उपकरण 'BITSAdmin' लाई शोषण गर्दछ।
दृढता सुनिश्चित गर्न र रिबुटहरू बाँच्नको लागि, मालवेयरले स्टार्टअप फोल्डरमा LNK फाइलहरू ('sysupdates.setup.lnk') थपेर पीडितको प्रणालीमा आफूलाई स्थापित गर्दछ। यी LNK फाइलहरूलाई PowerShell आदेश कार्यान्वयन गर्न कन्फिगर गरिएको छ, जसले संक्रमण स्क्रिप्ट ('AutoIT') चलाउँछ।
सम्झौता गरिएका यन्त्रहरू पीडितहरूको वित्तीय डेटालाई लक्षित गर्ने मोबाइल मालवेयरबाट संक्रमित छन्।
गुगल क्लाउड रनको शोषण गर्ने अभियानहरूले तीनवटा बैंकिङ ट्रोजनहरू समावेश गर्दछ: Ousaban, Astaroth र Mekotio। प्रत्येक ट्रोजनलाई चोरी प्रणालीमा घुसपैठ गर्न, दृढता स्थापित गर्न, र अवैध रूपमा बैंकिङ खाताहरूमा अनाधिकृत पहुँचको लागि संवेदनशील वित्तीय डेटा प्राप्त गर्नको लागि बनाइएको हो।
Ousaban, एक बैंकिङ ट्रोजन, किलगिङ, स्क्रिनसटहरू खिच्ने, र नक्कली (क्लोन गरिएको) बैंकिङ पोर्टलहरू मार्फत बैंकिङ प्रमाणहरूको लागि फिसिङ जस्ता क्षमताहरू छन्। अन्वेषकहरूले अवलोकन गर्छन् कि Ousaban Astaroth संक्रमण श्रृंखलामा पछिल्लो चरणमा प्रस्तुत गरिएको छ, जसले दुई मालवेयर परिवारका अपरेटरहरू वा दुवैको निरीक्षण गर्ने एकल खतरा अभिनेताको संलग्नता बीचको सम्भावित सहयोगको सुझाव दिन्छ।
Astaroth ले उन्नत चोरी प्रविधिहरू प्रयोग गर्दछ र सुरुमा ब्राजिलियन लक्ष्यहरूमा ध्यान केन्द्रित गर्दछ तर ल्याटिन अमेरिकाका 15 देशहरूमा 300 भन्दा बढी वित्तीय संस्थाहरूमा यसको दायरा विस्तार गरेको छ। हालै, मालवेयरले क्रिप्टोकरेन्सी विनिमय सेवाहरूको लागि प्रमाणहरू सङ्कलन गर्न थालेको छ। किलगिङ, स्क्रिन क्याप्चर, र क्लिपबोर्ड अनुगमनको प्रयोग गर्दै, Astaroth ले संवेदनशील डेटा मात्र चोर्दैन तर बैंकिङ प्रमाणहरू क्याप्चर गर्न इन्टरनेट ट्राफिकलाई अवरोध र हेरफेर पनि गर्छ।
मेकोटियो, धेरै वर्षदेखि सक्रिय, ल्याटिन अमेरिकी क्षेत्रमा केन्द्रित छ। बैंकिङ प्रमाणहरू र व्यक्तिगत जानकारी चोरी गर्न र धोखाधडी लेनदेनहरू कार्यान्वयन गर्नका लागि परिचित, मेकोटियोले प्रयोगकर्ताहरूलाई फिसिङ साइटहरूमा रिडिरेक्ट गर्न वेब ब्राउजरहरू हेरफेर गर्न सक्छ।
