Ousaban Banking Trojan

Os especialistas em segurança alertam que os hackers estão explorando o serviço Google Cloud Run para disseminar grandes quantidades de Trojans bancários. Os cibercriminosos estão utilizando várias ameaças de malware móvel, como o Ousaban, juntamente com outros cavalos de Tróia bancários, como oi Astaroth e o Mekotio.

O Google Cloud Run capacita os usuários a implantar serviços, sites ou aplicativos de front-end e back-end, gerenciando cargas de trabalho sem as complexidades de gerenciamento ou escalonamento de infraestrutura. O uso indevido do serviço do Google para distribuição de malware foi observado pela primeira vez em setembro de 2023, quando atores brasileiros iniciaram campanhas empregando arquivos do instalador MSI para implantar cargas úteis de malware.

Os Cibercriminosos Exploram Táticas de Phishing para Entregar Ameaças de Trojans Bancários

Os ataques começam com e-mails de phishing direcionados a vítimas em potencial, habilmente projetados para imitar comunicações genuínas relacionadas a faturas, demonstrações financeiras ou mensagens supostamente do governo local e de agências fiscais. Os pesquisadores observam que a maioria dos e-mails desta campanha são em espanhol, visando países da América Latina, mas há casos em que o italiano é usado. Esses e-mails enganosos contêm links que redirecionam os usuários para serviços da Web maliciosos hospedados no Google Cloud Run.

Em determinados cenários, a carga é entregue por meio de arquivos MSI. Alternativamente, o serviço emprega um redirecionamento 302 para um local do Google Cloud Storage, onde um arquivo ZIP contendo um arquivo MSI ameaçador é armazenado. Após a execução dos arquivos MSI maliciosos pelas vítimas, componentes e cargas adicionais são baixados e executados em seus sistemas. Nos casos observados, a entrega de carga útil de segundo estágio explora a ferramenta legítima do Windows 'BITSAdmin'.

Para garantir a persistência e sobreviver às reinicializações, o malware se estabelece no sistema da vítima adicionando arquivos LNK ('sysupdates.setup.lnk') na pasta Inicialização. Esses arquivos LNK são configurados para executar um comando do PowerShell que, por sua vez, executa o script de infecção ('AutoIT').

Os Dispositivos Comprometidos são Infectado por um Malware para Celulares Direcionado aos Dados Financeiros das Vítimas

As campanhas que exploram o Google Cloud Run apresentam três Trojans bancários: Ousaban, Astaroth e Mekotio. Cada Trojan é criado para se infiltrar furtivamente em sistemas, estabelecer persistência e obter ilicitamente dados financeiros confidenciais para acesso não autorizado a contas bancárias.

Ousaban, um Trojan bancário, possui recursos como keylogging, captura de telas e phishing de credenciais bancárias por meio de portais bancários falsificados (clonados). Os investigadores observam que o Ousaban é introduzido numa fase posterior da cadeia de infeção do Astaroth, sugerindo uma potencial colaboração entre os operadores das duas famílias de malware ou o envolvimento de um único ator de ameaça que supervisiona ambas.

Astaroth emprega técnicas avançadas de evasão e inicialmente foca em alvos brasileiros, mas expandiu seu escopo para mais de 300 instituições financeiras em 15 países da América Latina. Recentemente, o malware começou a coletar credenciais para serviços de troca de criptomoedas. Utilizando keylogging, captura de tela e monitoramento da área de transferência, o Astaroth não apenas rouba dados confidenciais, mas também intercepta e manipula o tráfego da Internet para capturar credenciais bancárias.

A Mekotio, ativa há vários anos, concentra-se na região latino-americana. Conhecido por roubar credenciais bancárias e informações pessoais e executar transações fraudulentas, o Mekotio pode manipular navegadores da web para redirecionar usuários a sites de phishing.