Ousaban Banking-trojan

Beveiligingsexperts waarschuwen dat hackers de Google Cloud Run-service misbruiken om grote hoeveelheden banktrojans te verspreiden. Cybercriminelen maken gebruik van verschillende mobiele malwarebedreigingen, zoals Ousaban, samen met andere banktrojans zoals Astaroth en Mekotio .

Met Google Cloud Run kunnen gebruikers frontend- en backend-services, websites of applicaties implementeren en de werklast beheren zonder de complexiteit van infrastructuurbeheer of schaalvergroting. Het misbruik van de service van Google voor de distributie van malware werd voor het eerst waargenomen in september 2023 toen Braziliaanse actoren campagnes startten waarbij gebruik werd gemaakt van MSI-installatiebestanden om malware-payloads te implementeren.

Cybercriminelen maken misbruik van phishing-tactieken om banktrojan-bedreigingen te bestrijden

De aanvallen beginnen met phishing-e-mails gericht op potentiële slachtoffers, vakkundig ontworpen om echte communicatie na te bootsen met betrekking tot facturen, financiële overzichten of berichten die zogenaamd afkomstig zijn van lokale overheden en belastingdiensten. De onderzoekers merken op dat het merendeel van de e-mails in deze campagne in het Spaans is, gericht op landen in Latijns-Amerika, maar er zijn gevallen waarin Italiaans wordt gebruikt. Deze misleidende e-mails bevatten links die gebruikers omleiden naar kwaadaardige webservices die worden gehost op Google Cloud Run.

In bepaalde scenario's wordt de payload geleverd via MSI-bestanden. Als alternatief maakt de service gebruik van een 302-omleiding naar een Google Cloud Storage-locatie, waar een ZIP-archief met een bedreigend MSI-bestand wordt opgeslagen. Bij het uitvoeren van de kwaadaardige MSI-bestanden door de slachtoffers worden extra componenten en payloads gedownload en uitgevoerd op hun systemen. In waargenomen gevallen maakt de levering van de payload in de tweede fase gebruik van de legitieme Windows-tool 'BITSAdmin'.

Om persistentie te garanderen en opnieuw opstarten te overleven, vestigt de malware zich op het systeem van het slachtoffer door LNK-bestanden ('sysupdates.setup.lnk') toe te voegen aan de map Opstarten. Deze LNK-bestanden zijn geconfigureerd om een PowerShell-opdracht uit te voeren die op zijn beurt het infectiescript uitvoert ('AutoIT').

Gecompromitteerde apparaten zijn geïnfecteerd met mobiele malware die zich richt op de financiële gegevens van slachtoffers

De campagnes die gebruik maken van de Google Cloud Run bevatten drie banktrojans: Ousaban, Astaroth en Mekotio. Elke Trojan is gemaakt om heimelijk systemen te infiltreren, persistentie te bewerkstelligen en op illegale wijze gevoelige financiële gegevens te verkrijgen voor ongeautoriseerde toegang tot bankrekeningen.

Ousaban, een banktrojan, beschikt over mogelijkheden zoals keylogging, het maken van schermafbeeldingen en phishing naar bankgegevens via nagemaakte (gekloonde) bankportals. Onderzoekers merken op dat Ousaban in een later stadium van de Astaroth-infectieketen wordt geïntroduceerd, wat duidt op een mogelijke samenwerking tussen de exploitanten van de twee malwarefamilies of de betrokkenheid van één enkele bedreigingsactoren die toezicht houdt op beide.

Astaroth maakt gebruik van geavanceerde ontwijkingstechnieken en richt zich in eerste instantie op Braziliaanse doelen, maar heeft zijn reikwijdte uitgebreid naar meer dan 300 financiële instellingen in 15 landen in Latijns-Amerika. Onlangs is de malware begonnen met het verzamelen van inloggegevens voor cryptocurrency-uitwisselingsdiensten. Met behulp van keylogging, schermopname en klembordmonitoring steelt Astaroth niet alleen gevoelige gegevens, maar onderschept en manipuleert het internetverkeer ook om bankgegevens vast te leggen.

Mekotio, al enkele jaren actief, concentreert zich op de Latijns-Amerikaanse regio. Mekotio staat bekend om het stelen van bankgegevens en persoonlijke informatie en het uitvoeren van frauduleuze transacties. Mekotio kan webbrowsers manipuleren om gebruikers door te sturen naar phishing-sites.