Ousaban Banking Trojan

Ekspertët e sigurisë paralajmërojnë se hakerët po shfrytëzojnë shërbimin Google Cloud Run për të shpërndarë sasi të mëdha të Trojans bankare. Kriminelët kibernetikë po përdorin kërcënime të ndryshme malware për celular, si Ousaban, së bashku me trojanë të tjerë bankar si Astaroth dhe Mekotio .

Google Cloud Run fuqizon përdoruesit të vendosin shërbime, faqe interneti ose aplikacione në front dhe backend, duke menaxhuar ngarkesat e punës pa kompleksitetin e menaxhimit ose shkallëzimit të infrastrukturës. Keqpërdorimi i shërbimit të Google për shpërndarjen e malware u vërejt për herë të parë në shtator 2023, kur aktorët brazilianë nisën fushata duke përdorur skedarë instalues MSI për të vendosur ngarkesa malware.

Kriminelët kibernetikë shfrytëzojnë taktikat e phishing për të ofruar kërcënime trojan bankare

Sulmet fillojnë me email phishing drejtuar viktimave të mundshme, të dizajnuara me mjeshtëri për të imituar komunikime të vërteta në lidhje me faturat, pasqyrat financiare ose mesazhet që supozohet se nga qeveria vendore dhe agjencitë tatimore. Studiuesit vërejnë se shumica e emaileve në këtë fushatë janë në spanjisht, duke synuar vendet në Amerikën Latine, por ka raste kur përdoret italishtja. Këto emaile mashtruese përmbajnë lidhje që ridrejtojnë përdoruesit në shërbimet e uebit me qëllim të keq të organizuara në Google Cloud Run.

Në disa skenarë, ngarkesa shpërndahet përmes skedarëve MSI. Përndryshe, shërbimi përdor një ridrejtim 302 në një vendndodhje të Google Cloud Storage, ku ruhet një arkiv ZIP që përmban një skedar kërcënues MSI. Pas ekzekutimit të skedarëve me qëllim të keq MSI nga viktimat, komponentët dhe ngarkesat shtesë shkarkohen dhe ekzekutohen në sistemet e tyre. Në rastet e vëzhguara, shpërndarja e ngarkesës në fazën e dytë shfrytëzon mjetin legjitim të Windows 'BITSAdmin'.

Për të siguruar qëndrueshmëri dhe për të mbijetuar rindezjet, malware vendoset në sistemin e viktimës duke shtuar skedarë LNK ('sysupdates.setup.lnk') në dosjen Startup. Këta skedarë LNK janë konfiguruar për të ekzekutuar një komandë PowerShell që, nga ana tjetër, ekzekuton skriptin e infeksionit ('AutoIT').

Pajisjet e komprometuara janë të infektuara me malware celularë që synojnë të dhënat financiare të viktimave

Fushatat që shfrytëzojnë Google Cloud Run paraqesin tre Trojan bankar: Ousaban, Astaroth dhe Mekotio. Çdo Trojan është krijuar për të depërtuar fshehurazi në sisteme, për të krijuar qëndrueshmëri dhe për të marrë në mënyrë të paligjshme të dhëna të ndjeshme financiare për akses të paautorizuar në llogaritë bankare.

Ousaban, një trojan bankar, zotëron aftësi të tilla si regjistrimi i tasteve, kapja e pamjeve të ekranit dhe phishing për kredencialet bankare përmes portaleve bankare të falsifikuara (klonuara). Studiuesit vërejnë se Ousaban është prezantuar në një fazë të mëvonshme në zinxhirin e infeksionit Astaroth, duke sugjeruar një bashkëpunim të mundshëm midis operatorëve të dy familjeve të malware ose përfshirjen e një aktori të vetëm kërcënimi që mbikëqyr të dyja.

Astaroth përdor teknika të avancuara evazioni dhe fillimisht fokusohet në objektivat braziliane, por e ka zgjeruar fushën e saj në mbi 300 institucione financiare në 15 vende në Amerikën Latine. Së fundmi, malware ka filluar të mbledhë kredencialet për shërbimet e shkëmbimit të kriptomonedhave. Duke përdorur regjistrimin e tastierëve, kapjen e ekranit dhe monitorimin e tabelës së fragmenteve, Astaroth jo vetëm që vjedh të dhëna të ndjeshme, por gjithashtu përgjon dhe manipulon trafikun e internetit për të kapur kredencialet bankare.

Mekotio, aktiv prej disa vitesh, përqendrohet në rajonin e Amerikës Latine. I njohur për vjedhjen e kredencialeve bankare dhe informacioneve personale dhe ekzekutimin e transaksioneve mashtruese, Mekotio mund të manipulojë shfletuesit e internetit për të ridrejtuar përdoruesit në faqet e phishing.