Trojan bankowy Ousaban

Eksperci ds. bezpieczeństwa ostrzegają, że hakerzy wykorzystują usługę Google Cloud Run do rozpowszechniania dużych ilości trojanów bankowych. Cyberprzestępcy wykorzystują różne mobilne zagrożenia złośliwym oprogramowaniem, takie jak Ousaban, a także inne trojany bankowe, takie jak Astaroth i Mekotio .

Google Cloud Run umożliwia użytkownikom wdrażanie usług frontendowych i backendowych, witryn internetowych i aplikacji, a także zarządzanie obciążeniami bez skomplikowanych problemów związanych z zarządzaniem infrastrukturą i skalowaniem. Po raz pierwszy niewłaściwe wykorzystanie usługi Google do dystrybucji złośliwego oprogramowania zaobserwowano we wrześniu 2023 r., kiedy brazylijscy aktorzy rozpoczęli kampanie wykorzystujące pliki instalatora MSI do wdrażania ładunków złośliwego oprogramowania.

Cyberprzestępcy wykorzystują taktykę phishingu do dostarczania zagrożeń związanych z trojanami bankowymi

Ataki rozpoczynają się od wiadomości e-mail phishingowych skierowanych do potencjalnych ofiar, umiejętnie zaprojektowanych tak, aby naśladować prawdziwą komunikację związaną z fakturami, sprawozdaniami finansowymi lub wiadomościami rzekomo od władz lokalnych i organów podatkowych. Badacze zauważają, że większość e-maili w tej kampanii jest napisana w języku hiszpańskim i skierowana do krajów Ameryki Łacińskiej, ale zdarzają się przypadki, w których używany jest język włoski. Te zwodnicze e-maile zawierają linki przekierowujące użytkowników do złośliwych usług internetowych hostowanych w Google Cloud Run.

W niektórych scenariuszach ładunek jest dostarczany za pośrednictwem plików MSI. Alternatywnie usługa wykorzystuje przekierowanie 302 do lokalizacji Google Cloud Storage, w której przechowywane jest archiwum ZIP zawierające zagrażający plik MSI. Po uruchomieniu złośliwych plików MSI przez ofiary, w ich systemach pobierane są i uruchamiane dodatkowe komponenty i ładunki. W zaobserwowanych przypadkach drugi etap dostarczania ładunku wykorzystuje legalne narzędzie systemu Windows „BITSadmin”.

Aby zapewnić trwałość i przetrwać ponowne uruchomienie, złośliwe oprogramowanie instaluje się w systemie ofiary, dodając pliki LNK ('sysupdates.setup.lnk') w folderze Autostart. Te pliki LNK są skonfigurowane do wykonywania polecenia programu PowerShell, które z kolei uruchamia skrypt infekcji („AutoIT”).

Zaatakowane urządzenia są infekowane mobilnym złośliwym oprogramowaniem, którego celem są dane finansowe ofiar

W kampaniach wykorzystujących Google Cloud Run wykorzystywane są trzy trojany bankowe: Ousaban, Astaroth i Mekotio. Każdy trojan został stworzony, aby potajemnie infiltrować systemy, zapewniać trwałość i nielegalne pozyskiwanie wrażliwych danych finansowych w celu nieautoryzowanego dostępu do kont bankowych.

Ousaban, trojan bankowy, posiada takie możliwości, jak rejestrowanie klawiszy, przechwytywanie zrzutów ekranu i wyłudzanie danych uwierzytelniających bankowych za pośrednictwem fałszywych (klonowanych) portali bankowych. Badacze zauważają, że Ousaban zostaje wprowadzony na późniejszym etapie łańcucha infekcji Astaroth, co sugeruje potencjalną współpracę między operatorami dwóch rodzin szkodliwego oprogramowania lub zaangażowanie jednego ugrupowania zagrażającego nadzorującego obie rodziny.

Astaroth wykorzystuje zaawansowane techniki unikania ataków i początkowo koncentruje się na celach brazylijskich, ale rozszerzył swój zasięg na ponad 300 instytucji finansowych w 15 krajach Ameryki Łacińskiej. Ostatnio szkodliwe oprogramowanie zaczęło zbierać dane uwierzytelniające do usług wymiany kryptowalut. Wykorzystując rejestrację naciśnięć klawiszy, przechwytywanie ekranu i monitorowanie schowka, Astaroth nie tylko kradnie wrażliwe dane, ale także przechwytuje i manipuluje ruchem internetowym w celu przechwycenia danych uwierzytelniających bankowych.

Mekotio, działająca od kilku lat, koncentruje się na regionie Ameryki Łacińskiej. Znany z kradzieży danych uwierzytelniających i danych osobowych banków oraz wykonywania oszukańczych transakcji, Mekotio może manipulować przeglądarkami internetowymi w celu przekierowywania użytkowników do witryn phishingowych.