Ousaban банкарски тројанац

Стручњаци за безбедност упозоравају да хакери користе услугу Гоогле Цлоуд Рун за ширење великих количина банкарских тројанаца. Сајбер криминалци користе разне претње од малвера за мобилне уређаје, као што је Оусабан, заједно са другим банкарским тројанцима као што су Астаротх и Мекотио .

Гоогле Цлоуд Рун омогућава корисницима да примењују фронтенд и бацкенд услуге, веб локације или апликације, управљајући радним оптерећењима без сложености управљања инфраструктуром или скалирања. Злоупотреба Гоогле-ове услуге за дистрибуцију злонамерног софтвера први пут је примећена у септембру 2023. када су бразилски актери покренули кампање користећи МСИ инсталационе датотеке за примену садржаја малвера.

Сајбер-криминалци користе тактику пхисхинг-а да би испоручили претње банкарским тројанцима

Напади почињу са пхисхинг имејловима усмереним на потенцијалне жртве, вешто дизајнираним да опонашају истинску комуникацију у вези са фактурама, финансијским извештајима или порукама наводно од локалних власти и пореских агенција. Истраживачи напомињу да је већина мејлова у овој кампањи на шпанском, циљајући земље у Латинској Америци, али постоје случајеви у којима се користи италијански. Ове обмањујуће поруке е-поште садрже везе које преусмеравају кориснике на злонамерне веб услуге хостоване на Гоогле Цлоуд Рун-у.

У одређеним сценаријима, корисни терет се испоручује преко МСИ датотека. Алтернативно, услуга користи 302 преусмеравање на локацију Гоогле Цлоуд Стораге, где се чува ЗИП архива која садржи претећу МСИ датотеку. Након што жртве изврше злонамерне МСИ датотеке, додатне компоненте и корисни садржаји се преузимају и извршавају на њиховим системима. У посматраним случајевима, испорука корисног оптерећења у другој фази користи легитимни Виндовс алат „БИТСАдмин“.

Да би се обезбедила постојаност и преживео поновна покретања, злонамерни софтвер се успоставља на систему жртве додавањем ЛНК датотека ('сисупдатес.сетуп.лнк') у фасциклу за покретање. Ове ЛНК датотеке су конфигурисане да изврше ПоверСхелл команду која, заузврат, покреће скрипту за инфекцију („АутоИТ“).

Компромитовани уређаји су заражени малвером за мобилне уређаје који циља финансијске податке жртава

Кампање које користе Гоогле Цлоуд Рун садрже три банкарска тројанца: Оусабан, Астаротх и Мекотио. Сваки тројанац је направљен да се прикривено инфилтрира у системе, успостави постојаност и незаконито добије осетљиве финансијске податке за неовлашћени приступ банкарским рачунима.

Оусабан, банкарски тројанац, поседује могућности као што су кеилоггинг, снимање екрана и пхисхинг за банкарске акредитиве преко лажних (клонираних) банкарских портала. Истраживачи примећују да је Оусабан уведен у каснијој фази у ланцу инфекције Астаротхом, што сугерише потенцијалну сарадњу између оператера две породице малвера или умешаност једног претњи који надгледа оба.

Астаротх користи напредне технике избегавања и у почетку се фокусира на бразилске мете, али је проширио свој обим на преко 300 финансијских институција у 15 земаља Латинске Америке. Недавно је злонамерни софтвер почео да прикупља акредитиве за услуге размене криптовалута. Користећи кеилоггинг, снимање екрана и праћење међуспремника, Астаротх не само да краде осетљиве податке већ и пресреће и манипулише интернет саобраћајем да би ухватио банкарске акредитиве.

Мекотио, активан већ неколико година, концентрише се на регион Латинске Америке. Познат по крађи банкарских акредитива и личних података и извршавању лажних трансакција, Мекотио може да манипулише веб прегледачима како би преусмерио кориснике на сајтове за пхисхинг.