Ousaban வங்கி ட்ரோஜன்
பெரிய அளவிலான வங்கி ட்ரோஜான்களைப் பரப்புவதற்கு ஹேக்கர்கள் Google Cloud Run சேவையைப் பயன்படுத்திக் கொள்கிறார்கள் என்று பாதுகாப்பு நிபுணர்கள் எச்சரிக்கின்றனர். சைபர் கிரைமினல்கள் Ousaban போன்ற பல்வேறு மொபைல் மால்வேர் அச்சுறுத்தல்களையும், Astaroth மற்றும் Mekotio போன்ற பிற வங்கி ட்ரோஜான்களையும் பயன்படுத்துகின்றனர்.
Google Cloud Run ஆனது, உள்கட்டமைப்பு மேலாண்மை அல்லது அளவிடுதல் போன்ற சிக்கல்கள் இல்லாமல் பணிச்சுமைகளை நிர்வகித்தல், முன்பக்கம் மற்றும் பின்தள சேவைகள், இணையதளங்கள் அல்லது பயன்பாடுகளை வரிசைப்படுத்த பயனர்களுக்கு அதிகாரம் அளிக்கிறது. மால்வேர் விநியோகத்திற்காக கூகுளின் சேவையின் தவறாகப் பயன்படுத்தப்படுவது முதன்முதலில் செப்டம்பர் 2023 இல் பிரேசிலிய நடிகர்கள் மால்வேர் பேலோடுகளை வரிசைப்படுத்த MSI நிறுவி கோப்புகளைப் பயன்படுத்தும் பிரச்சாரங்களைத் தொடங்கியபோது கவனிக்கப்பட்டது.
சைபர் கிரைமினல்கள் ஃபிஷிங் தந்திரங்களை பயன்படுத்தி வங்கி ட்ரோஜன் அச்சுறுத்தல்களை வழங்குகின்றனர்
தாக்குதல்கள் சாத்தியமான பாதிக்கப்பட்டவர்களை நோக்கி அனுப்பப்படும் ஃபிஷிங் மின்னஞ்சல்களுடன் தொடங்குகின்றன, இன்வாய்ஸ்கள், நிதிநிலை அறிக்கைகள் அல்லது உள்ளூர் அரசாங்கம் மற்றும் வரி ஏஜென்சிகளிடமிருந்து கூறப்படும் செய்திகள் தொடர்பான உண்மையான தகவல்தொடர்புகளைப் பிரதிபலிக்கும் வகையில் திறமையாக வடிவமைக்கப்பட்டுள்ளது. இந்த பிரச்சாரத்தில் உள்ள பெரும்பாலான மின்னஞ்சல்கள் லத்தீன் அமெரிக்காவில் உள்ள நாடுகளை குறிவைத்து ஸ்பானிஷ் மொழியில் இருப்பதாக ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர், ஆனால் இத்தாலியன் பயன்படுத்தப்படும் நிகழ்வுகள் உள்ளன. இந்த ஏமாற்றும் மின்னஞ்சல்களில் Google Cloud Run இல் ஹோஸ்ட் செய்யப்பட்ட தீங்கிழைக்கும் இணைய சேவைகளுக்கு பயனர்களை திருப்பிவிடும் இணைப்புகள் உள்ளன.
சில சூழ்நிலைகளில், பேலோட் MSI கோப்புகள் மூலம் வழங்கப்படுகிறது. மாற்றாக, இந்தச் சேவையானது 302ஐ Google கிளவுட் ஸ்டோரேஜ் இடத்திற்குத் திருப்பிவிடுவதைப் பயன்படுத்துகிறது, அங்கு அச்சுறுத்தும் MSI கோப்பைக் கொண்ட ZIP காப்பகம் சேமிக்கப்படுகிறது. பாதிக்கப்பட்டவர்களால் தீங்கிழைக்கும் MSI கோப்புகள் செயல்படுத்தப்பட்டவுடன், கூடுதல் கூறுகள் மற்றும் பேலோடுகள் பதிவிறக்கம் செய்யப்பட்டு அவர்களின் கணினிகளில் செயல்படுத்தப்படும். கவனிக்கப்பட்ட நிகழ்வுகளில், இரண்டாம் கட்ட பேலோட் டெலிவரி முறையான விண்டோஸ் கருவியான 'BITSAdmin.'
நிலைத்திருப்பதை உறுதிசெய்து, மறுதொடக்கங்களைத் தக்கவைக்க, தொடக்க கோப்புறையில் LNK கோப்புகளை ('sysupdates.setup.lnk') சேர்ப்பதன் மூலம் தீம்பொருள் பாதிக்கப்பட்டவரின் கணினியில் தன்னை நிலைநிறுத்துகிறது. இந்த LNK கோப்புகள் பவர்ஷெல் கட்டளையை இயக்கும் வகையில் கட்டமைக்கப்பட்டுள்ளன, இது தொற்று ஸ்கிரிப்டை ('AutoIT') இயக்குகிறது.
பாதிக்கப்பட்டவர்களின் நிதித் தரவை குறிவைக்கும் மொபைல் மால்வேர் மூலம் சமரசம் செய்யப்பட்ட சாதனங்கள் பாதிக்கப்பட்டுள்ளன
கூகுள் கிளவுட் ரன்னைப் பயன்படுத்திக் கொள்ளும் பிரச்சாரங்களில் மூன்று வங்கி ட்ரோஜான்கள் உள்ளன: ஓசபன், அஸ்டாரோத் மற்றும் மெகோடியோ. ஒவ்வொரு ட்ரோஜனும் அமைப்புகளில் திருட்டுத்தனமாக ஊடுருவவும், நிலைத்தன்மையை நிறுவவும், வங்கிக் கணக்குகளுக்கு அங்கீகரிக்கப்படாத அணுகலுக்கான முக்கியமான நிதித் தரவை சட்டவிரோதமாகப் பெறவும் வடிவமைக்கப்பட்டுள்ளது.
Ousaban, ஒரு வங்கி ட்ரோஜன், கீலாக்கிங், ஸ்கிரீன் ஷாட்களைப் படம்பிடித்தல் மற்றும் போலியான (குளோன் செய்யப்பட்ட) வங்கி இணையதளங்கள் மூலம் வங்கிச் சான்றுகளுக்கு ஃபிஷிங் செய்தல் போன்ற திறன்களைக் கொண்டுள்ளது. அஸ்டாரோத் தொற்றுச் சங்கிலியின் பிற்பகுதியில் Ousaban அறிமுகப்படுத்தப்பட்டதை ஆராய்ச்சியாளர்கள் கவனிக்கின்றனர், இது இரண்டு தீம்பொருள் குடும்பங்களின் ஆபரேட்டர்களுக்கு இடையில் சாத்தியமான ஒத்துழைப்பை பரிந்துரைக்கிறது அல்லது இரண்டையும் மேற்பார்வையிடும் ஒரு அச்சுறுத்தல் நடிகரின் ஈடுபாட்டைக் குறிக்கிறது.
Astaroth மேம்பட்ட ஏய்ப்பு நுட்பங்களைப் பயன்படுத்துகிறது மற்றும் ஆரம்பத்தில் பிரேசிலிய இலக்குகளில் கவனம் செலுத்துகிறது ஆனால் லத்தீன் அமெரிக்காவில் உள்ள 15 நாடுகளில் 300 க்கும் மேற்பட்ட நிதி நிறுவனங்களுக்கு அதன் நோக்கத்தை விரிவுபடுத்தியுள்ளது. சமீபத்தில், தீம்பொருள் கிரிப்டோகரன்சி பரிமாற்ற சேவைகளுக்கான சான்றுகளை சேகரிக்கத் தொடங்கியது. கீலாக்கிங், ஸ்கிரீன் கேப்சர் மற்றும் கிளிப்போர்டு கண்காணிப்பு ஆகியவற்றைப் பயன்படுத்தி, அஸ்டாரோத் முக்கியமான தரவுகளைத் திருடுவது மட்டுமல்லாமல், வங்கிச் சான்றுகளைப் பிடிக்க இணைய போக்குவரத்தை இடைமறித்து கையாளவும் செய்கிறது.
Mekotio, பல ஆண்டுகளாக செயலில் உள்ளது, லத்தீன் அமெரிக்க பகுதியில் கவனம் செலுத்துகிறது. வங்கிச் சான்றுகள் மற்றும் தனிப்பட்ட தகவல்களைத் திருடுவதற்கும், மோசடியான பரிவர்த்தனைகளைச் செய்வதற்கும் பெயர் பெற்ற Mekotio, பயனர்களை ஃபிஷிங் தளங்களுக்குத் திருப்பிவிட இணைய உலாவிகளைக் கையாள முடியும்.
