Ousaban bančni trojanec

Varnostni strokovnjaki opozarjajo, da hekerji izkoriščajo storitev Google Cloud Run za razširjanje velikih količin bančnih trojancev. Kibernetski kriminalci uporabljajo različne grožnje zlonamerne programske opreme za mobilne naprave, kot je Ousaban, skupaj z drugimi bančnimi trojanci, kot sta Astaroth in Mekotio .

Google Cloud Run omogoča uporabnikom, da uvedejo čelne in zaledne storitve, spletna mesta ali aplikacije, pri čemer upravljajo delovne obremenitve brez zapletenega upravljanja infrastrukture ali skaliranja. Zloraba Googlove storitve za distribucijo zlonamerne programske opreme je bila prvič opažena septembra 2023, ko so brazilski akterji sprožili kampanje z uporabo namestitvenih datotek MSI za uvajanje koristne vsebine zlonamerne programske opreme.

Kibernetski kriminalci izkoriščajo taktike lažnega predstavljanja za posredovanje bančnih trojanskih groženj

Napadi se začnejo z e-poštnimi sporočili z lažnim predstavljanjem, namenjenimi morebitnim žrtvam, ki so spretno oblikovana tako, da posnemajo pristno komunikacijo v zvezi z računi, finančnimi izkazi ali sporočili, ki naj bi jih pošiljala lokalna vlada in davčne agencije. Raziskovalci ugotavljajo, da je večina e-poštnih sporočil v tej kampanji v španščini in cilja na države Latinske Amerike, vendar obstajajo primeri, kjer je uporabljena italijanščina. Ta zavajajoča e-poštna sporočila vsebujejo povezave, ki uporabnike preusmerjajo na zlonamerne spletne storitve, ki gostujejo v storitvi Google Cloud Run.

V določenih scenarijih je tovor dostavljen prek datotek MSI. Druga možnost je, da storitev uporabi preusmeritev 302 na lokacijo Google Cloud Storage, kjer je shranjen arhiv ZIP, ki vsebuje nevarno datoteko MSI. Ko žrtve zaženejo zlonamerne datoteke MSI, se v njihovih sistemih prenesejo in izvedejo dodatne komponente in koristni tovori. V opaženih primerih druga stopnja dostave koristnega tovora izkorišča zakonito orodje Windows 'BITSAdmin'.

Za zagotovitev obstojnosti in preživetje ponovnih zagonov se zlonamerna programska oprema namesti v sistem žrtve z dodajanjem datotek LNK ('sysupdates.setup.lnk') v mapo Startup. Te datoteke LNK so konfigurirane za izvajanje ukaza PowerShell, ki nato zažene skript za okužbo ('AutoIT').

Ogrožene naprave so okužene z zlonamerno programsko opremo za mobilne naprave, ki cilja na finančne podatke žrtev

Kampanje, ki izkoriščajo Google Cloud Run, vsebujejo tri bančne trojance: Ousaban, Astaroth in Mekotio. Vsak trojanec je ustvarjen za prikrito infiltracijo v sisteme, vzpostavitev obstojnosti in nezakonito pridobivanje občutljivih finančnih podatkov za nepooblaščen dostop do bančnih računov.

Ousaban, bančni trojanec, ima zmožnosti, kot so beleženje tipk, zajemanje posnetkov zaslona in lažno predstavljanje bančnih poverilnic prek ponarejenih (kloniranih) bančnih portalov. Raziskovalci opažajo, da je Ousaban uveden na kasnejši stopnji v verigi okužbe z Astaroth, kar kaže na morebitno sodelovanje med operaterji obeh družin zlonamerne programske opreme ali vpletenost enega samega akterja grožnje, ki nadzoruje obe.

Astaroth uporablja napredne tehnike izogibanja in se sprva osredotoča na brazilske tarče, vendar je svoj obseg razširil na več kot 300 finančnih institucij v 15 državah Latinske Amerike. Pred kratkim je zlonamerna programska oprema začela zbirati poverilnice za storitve menjave kriptovalut. Z uporabo beleženja tipk, zajema zaslonov in spremljanja odložišča Astaroth ne le ukrade občutljive podatke, temveč tudi prestreže in manipulira internetni promet, da zajame bančne poverilnice.

Mekotio, ki deluje že več let, se osredotoča na regijo Latinske Amerike. Mekotio, znan po kraji bančnih poverilnic in osebnih podatkov ter izvajanju goljufivih transakcij, lahko manipulira s spletnimi brskalniki, da uporabnike preusmeri na lažna spletna mesta.