Troian bancar Ousaban

Experții în securitate avertizează că hackerii exploatează serviciul Google Cloud Run pentru a disemina cantități mari de troieni bancari. Criminalii cibernetici folosesc diverse amenințări de tip malware pentru mobil, cum ar fi Ousaban, împreună cu alți troieni bancari precum Astaroth și Mekotio .

Google Cloud Run le permite utilizatorilor să implementeze servicii frontend și backend, site-uri web sau aplicații, gestionând sarcinile de lucru fără complexitatea gestionării sau scalarii infrastructurii. Utilizarea greșită a serviciului Google pentru distribuirea de malware a fost observată pentru prima dată în septembrie 2023, când actorii brazilieni au inițiat campanii care utilizează fișiere de instalare MSI pentru a implementa încărcături utile de malware.

Infractorii cibernetici exploatează tactici de phishing pentru a oferi amenințări ale troienilor bancare

Atacurile încep cu e-mailuri de phishing îndreptate către potențiale victime, concepute cu pricepere pentru a imita comunicările autentice legate de facturi, situații financiare sau mesaje pretins de la autoritățile locale și agențiile fiscale. Cercetătorii observă că majoritatea e-mailurilor din această campanie sunt în spaniolă, vizând țări din America Latină, dar există cazuri în care este folosită limba italiană. Aceste e-mailuri înșelătoare conțin linkuri care redirecționează utilizatorii către servicii web rău intenționate găzduite pe Google Cloud Run.

În anumite scenarii, sarcina utilă este livrată prin fișiere MSI. Alternativ, serviciul folosește o redirecționare 302 către o locație Google Cloud Storage, unde este stocată o arhivă ZIP care conține un fișier MSI amenințător. La executarea fișierelor MSI rău intenționate de către victime, componente și încărcături utile suplimentare sunt descărcate și executate pe sistemele lor. În cazurile observate, livrarea încărcăturii din a doua etapă exploatează instrumentul Windows legitim „BITSAdmin”.

Pentru a asigura persistența și a supraviețui repornirilor, malware-ul se instalează pe sistemul victimei adăugând fișiere LNK („sysupdates.setup.lnk”) în folderul Startup. Aceste fișiere LNK sunt configurate pentru a executa o comandă PowerShell care, la rândul său, rulează scriptul de infecție („AutoIT”).

Dispozitivele compromise sunt infectate cu programe malware mobile care vizează datele financiare ale victimelor

Campaniile care exploatează Google Cloud Run prezintă trei troieni bancare: Ousaban, Astaroth și Mekotio. Fiecare troian este conceput pentru a se infiltre în sistemele pe furiș, pentru a stabili persistența și pentru a obține în mod ilicit date financiare sensibile pentru acces neautorizat la conturile bancare.

Ousaban, un troian bancar, posedă capabilități precum înregistrarea tastelor, capturarea de capturi de ecran și phishing pentru acreditările bancare prin portaluri bancare contrafăcute (clonate). Cercetătorii observă că Ousaban este introdus într-o etapă ulterioară în lanțul de infecții Astaroth, sugerând o potențială colaborare între operatorii celor două familii de malware sau implicarea unui singur actor de amenințare care le supraveghează pe ambele.

Astaroth folosește tehnici avansate de evaziune și se concentrează inițial pe ținte braziliene, dar și-a extins domeniul de aplicare la peste 300 de instituții financiare din 15 țări din America Latină. Recent, malware-ul a început să colecteze acreditări pentru serviciile de schimb de criptomonede. Utilizând înregistrarea tastelor, capturarea ecranului și monitorizarea clipboard-ului, Astaroth nu numai că fură date sensibile, ci și interceptează și manipulează traficul de internet pentru a captura acreditările bancare.

Mekotio, activ de câțiva ani, se concentrează pe regiunea Americii Latine. Cunoscut pentru furtul de acreditări bancare și informații personale și pentru executarea de tranzacții frauduloase, Mekotio poate manipula browserele web pentru a redirecționa utilizatorii către site-uri de phishing.