Ousaban Banking Trojan

Bezpečnostní experti upozorňujú, že hackeri využívajú službu Google Cloud Run na šírenie veľkého množstva bankových trójskych koní. Kyberzločinci využívajú rôzne mobilné malvérové hrozby, ako napríklad Ousaban, spolu s ďalšími bankovými trójskymi koňmi, ako sú Astaroth a Mekotio .

Google Cloud Run umožňuje používateľom nasadzovať frontendové a backendové služby, webové stránky alebo aplikácie a spravovať pracovné zaťaženie bez zložitosti správy infraštruktúry alebo škálovania. Zneužitie služby Google na distribúciu škodlivého softvéru bolo prvýkrát pozorované v septembri 2023, keď brazílski aktéri iniciovali kampane využívajúce inštalačné súbory MSI na nasadenie užitočného obsahu škodlivého softvéru.

Kyberzločinci využívajú taktiku phishingu na šírenie bankových trójskych hrozieb

Útoky sa začínajú phishingovými e-mailami namierenými na potenciálne obete, ktoré sú šikovne navrhnuté tak, aby napodobňovali skutočnú komunikáciu súvisiacu s faktúrami, finančnými výkazmi alebo správami údajne od miestnych vlád a daňových úradov. Výskumníci poznamenávajú, že väčšina e-mailov v tejto kampani je v španielčine a zameriava sa na krajiny v Latinskej Amerike, ale existujú prípady, keď sa používa taliančina. Tieto klamlivé e-maily obsahujú odkazy, ktoré používateľov presmerujú na škodlivé webové služby hostené v službe Google Cloud Run.

V určitých scenároch sa užitočné zaťaženie doručuje prostredníctvom súborov MSI. Alternatívne služba využíva presmerovanie 302 na umiestnenie Google Cloud Storage, kde je uložený archív ZIP obsahujúci hrozivý súbor MSI. Po spustení škodlivých súborov MSI obeťami sa na ich systémoch stiahnu a spustia ďalšie komponenty a užitočné zaťaženia. V pozorovaných prípadoch využíva druhá fáza doručovania užitočného obsahu legitímny nástroj Windows 'BITSAdmin.

Aby sa zabezpečila trvalosť a prežili reštarty, malvér sa usadí v systéme obete pridaním súborov LNK ('sysupdates.setup.lnk') do priečinka Po spustení. Tieto súbory LNK sú nakonfigurované na spustenie príkazu PowerShell, ktorý následne spustí skript infekcie ("AutoIT").

Kompromitované zariadenia sú infikované mobilným malvérom zacieleným na finančné údaje obetí

Kampane využívajúce Google Cloud Run obsahujú tri bankové trójske kone: Ousaban, Astaroth a Mekotio. Každý trójsky kôň je vytvorený tak, aby sa tajne infiltroval do systémov, zabezpečil stálosť a nezákonne získaval citlivé finančné údaje na neoprávnený prístup k bankovým účtom.

Ousaban, bankový trójsky kôň, má funkcie, ako je zaznamenávanie kľúčov, zachytávanie snímok obrazovky a phishing pre bankové poverenia prostredníctvom falošných (klonovaných) bankových portálov. Výskumníci pozorujú, že Ousaban je zavedený v neskoršom štádiu infekčného reťazca Astaroth, čo naznačuje potenciálnu spoluprácu medzi operátormi dvoch rodín malvéru alebo zapojenie jediného aktéra hrozby, ktorý dohliada na obe skupiny.

Astaroth využíva pokročilé únikové techniky a spočiatku sa zameriava na brazílske ciele, ale rozšírila svoju pôsobnosť na viac ako 300 finančných inštitúcií v 15 krajinách Latinskej Ameriky. Nedávno malvér začal zbierať poverenia pre služby výmeny kryptomien. S využitím keyloggingu, snímania obrazovky a monitorovania schránky Astaroth nielen kradne citlivé údaje, ale tiež zachytáva a manipuluje internetový prenos, aby získal bankové poverenia.

Mekotio, ktoré pôsobí už niekoľko rokov, sa sústreďuje na región Latinskej Ameriky. Mekotio, známe tým, že kradne bankové poverenia a osobné informácie a vykonáva podvodné transakcie, dokáže manipulovať s webovými prehliadačmi, aby presmeroval používateľov na phishingové stránky.