Банковский троян Ousaban

Эксперты по безопасности предупреждают, что хакеры используют сервис Google Cloud Run для распространения большого количества банковских троянов. Киберпреступники используют различные мобильные вредоносные программы, такие как Ousaban, а также другие банковские трояны, такие как Astaroth и Mekotio .

Google Cloud Run дает пользователям возможность развертывать интерфейсные и серверные службы, веб-сайты или приложения, управляя рабочими нагрузками без сложностей управления инфраструктурой или масштабирования. Неправомерное использование службы Google для распространения вредоносного ПО впервые было замечено в сентябре 2023 года, когда бразильские субъекты инициировали кампании с использованием файлов установщика MSI для развертывания полезных нагрузок вредоносного ПО.

Киберпреступники используют тактику фишинга для доставки банковских троянских угроз

Атаки начинаются с фишинговых писем, адресованных потенциальным жертвам и умело имитирующих подлинные сообщения, связанные со счетами, финансовыми отчетами или сообщениями, предположительно от местных органов власти и налоговых органов. Исследователи отмечают, что большинство электронных писем в этой кампании написаны на испанском языке и ориентированы на страны Латинской Америки, но есть случаи, когда используется итальянский язык. Эти обманные электронные письма содержат ссылки, которые перенаправляют пользователей на вредоносные веб-сервисы, размещенные в Google Cloud Run.

В некоторых сценариях полезная нагрузка доставляется через файлы MSI. В качестве альтернативы служба использует перенаправление 302 в хранилище Google Cloud Storage, где хранится ZIP-архив, содержащий угрожающий файл MSI. При выполнении жертвами вредоносных файлов MSI в их системах загружаются и выполняются дополнительные компоненты и полезные данные. В наблюдаемых случаях доставка полезных данных на втором этапе использует законный инструмент Windows «BITSAdmin».

Чтобы обеспечить устойчивость и пережить перезагрузку, вредоносная программа устанавливается в системе жертвы, добавляя файлы LNK («sysupdates.setup.lnk») в папку «Автозагрузка». Эти файлы LNK настроены на выполнение команды PowerShell, которая, в свою очередь, запускает сценарий заражения («AutoIT»).

Скомпрометированные устройства заражены мобильным вредоносным ПО, нацеленным на финансовые данные жертв

В кампаниях, использующих Google Cloud Run, используются три банковских троянца: Ousaban, Astaroth и Mekotio. Каждый троянец предназначен для скрытного проникновения в системы, обеспечения устойчивости и незаконного получения конфиденциальных финансовых данных для несанкционированного доступа к банковским счетам.

Ousaban, банковский троян, обладает такими возможностями, как ведение журнала клавиатуры, создание снимков экрана и фишинг банковских учетных данных через поддельные (клонированные) банковские порталы. Исследователи отмечают, что Ousaban появляется на более позднем этапе цепочки заражения Astaroth, что предполагает потенциальное сотрудничество между операторами двух семейств вредоносных программ или участие одного злоумышленника, контролирующего оба.

Astaroth использует передовые методы уклонения от атак и первоначально фокусируется на бразильских целях, но расширил сферу своей деятельности до более чем 300 финансовых учреждений в 15 странах Латинской Америки. Недавно вредоносная программа начала собирать учетные данные для сервисов обмена криптовалют. Используя кейлоггинг, захват экрана и мониторинг буфера обмена, Astaroth не только крадет конфиденциальные данные, но также перехватывает и манипулирует интернет-трафиком для получения банковских учетных данных.

Mekotio, действующая уже несколько лет, концентрируется на регионе Латинской Америки. Mekotio, известная кражей банковских учетных данных и личной информации, а также выполнением мошеннических транзакций, может манипулировать веб-браузерами, чтобы перенаправлять пользователей на фишинговые сайты.