Ousaban Banking Trojan

Säkerhetsexperter varnar för att hackare utnyttjar tjänsten Google Cloud Run för att sprida stora mängder banktrojaner. Cyberkriminella använder olika mobila skadliga hot, som Ousaban, tillsammans med andra banktrojaner som Astaroth och Mekotio .

Google Cloud Run ger användare möjlighet att distribuera frontend- och backend-tjänster, webbplatser eller applikationer, hantera arbetsbelastningar utan komplexiteten med infrastrukturhantering eller skalning. Missbruket av Googles tjänst för distribution av skadlig programvara observerades först i september 2023 när brasilianska aktörer startade kampanjer med MSI-installationsfiler för att distribuera skadlig programvara.

Cyberbrottslingar utnyttjar nätfisketaktik för att leverera trojanska bankhot

Attackerna börjar med nätfiske-e-postmeddelanden riktade mot potentiella offer, skickligt utformade för att efterlikna äkta kommunikation relaterad till fakturor, bokslut eller meddelanden som påstås komma från lokala myndigheter och skattemyndigheter. Forskarna noterar att majoriteten av e-postmeddelanden i denna kampanj är på spanska, riktade mot länder i Latinamerika, men det finns tillfällen där italienska används. Dessa vilseledande e-postmeddelanden innehåller länkar som omdirigerar användare till skadliga webbtjänster som finns på Google Cloud Run.

I vissa scenarier levereras nyttolasten via MSI-filer. Alternativt använder tjänsten en 302-omdirigering till en Google Cloud Storage-plats, där ett ZIP-arkiv som innehåller en hotande MSI-fil lagras. Vid exekvering av de skadliga MSI-filerna av offer, laddas ytterligare komponenter och nyttolaster ner och exekveras på deras system. I observerade fall utnyttjar den andra etappens nyttolastleverans det legitima Windows-verktyget 'BITSAdmin'.

För att säkerställa beständighet och överleva omstarter, etablerar den skadliga programvaran sig på offrets system genom att lägga till LNK-filer ('sysupdates.setup.lnk') i Startup-mappen. Dessa LNK-filer är konfigurerade för att köra ett PowerShell-kommando som i sin tur kör infektionsskriptet ('AutoIT').

Infekterade enheter är infekterade med mobil skadlig programvara som riktar in sig på offers ekonomiska data

Kampanjerna som utnyttjar Google Cloud Run innehåller tre banktrojaner: Ousaban, Astaroth och Mekotio. Varje trojan är utformad för att smygande infiltrera system, etablera persistens och olagligt erhålla känslig finansiell information för obehörig åtkomst till bankkonton.

Ousaban, en banktrojan, har funktioner som keylogging, ta skärmdumpar och nätfiske efter bankuppgifter genom falska (klonade) bankportaler. Forskare observerar att Ousaban introduceras i ett senare skede i Astaroths infektionskedja, vilket tyder på ett potentiellt samarbete mellan operatörerna av de två skadliga programfamiljerna eller involvering av en enda hotaktör som övervakar båda.

Astaroth använder avancerade undanflyktstekniker och fokuserar initialt på brasilianska mål, men har utökat sin räckvidd till över 300 finansiella institutioner i 15 länder i Latinamerika. Nyligen har skadlig programvara börjat samla in autentiseringsuppgifter för utbytestjänster för kryptovaluta. Genom att använda tangentloggning, skärmdump och urklippsövervakning, stjäl Astaroth inte bara känslig data utan även fångar upp och manipulerar internettrafik för att fånga bankuppgifter.

Mekotio, som har varit verksamt i flera år, koncentrerar sig på den latinamerikanska regionen. Känd för att stjäla bankuppgifter och personlig information och utföra bedrägliga transaktioner, kan Mekotio manipulera webbläsare för att omdirigera användare till nätfiskewebbplatser.