ఊసబాన్ బ్యాంకింగ్ ట్రోజన్

పెద్ద మొత్తంలో బ్యాంకింగ్ ట్రోజన్‌లను వ్యాప్తి చేయడానికి హ్యాకర్లు Google క్లౌడ్ రన్ సేవను ఉపయోగించుకుంటున్నారని భద్రతా నిపుణులు హెచ్చరిస్తున్నారు. సైబర్ నేరస్థులు అస్టారోత్ మరియు మెకోటియో వంటి ఇతర బ్యాంకింగ్ ట్రోజన్‌లతో పాటు ఔసాబాన్ వంటి వివిధ మొబైల్ మాల్వేర్ బెదిరింపులను ఉపయోగిస్తున్నారు.

Google క్లౌడ్ రన్ వినియోగదారులకు ఫ్రంటెండ్ మరియు బ్యాకెండ్ సేవలు, వెబ్‌సైట్‌లు లేదా అప్లికేషన్‌లను అమలు చేయడానికి, ఇన్‌ఫ్రాస్ట్రక్చర్ మేనేజ్‌మెంట్ లేదా స్కేలింగ్ యొక్క సంక్లిష్టత లేకుండా పనిభారాన్ని నిర్వహించడానికి అధికారం ఇస్తుంది. మాల్వేర్ పంపిణీ కోసం Google సేవ యొక్క దుర్వినియోగం మొదటిసారిగా సెప్టెంబర్ 2023లో బ్రెజిలియన్ నటులు MSI ఇన్‌స్టాలర్ ఫైల్‌లను ఉపయోగించి మాల్వేర్ పేలోడ్‌లను అమలు చేయడానికి ప్రచారాలను ప్రారంభించినప్పుడు గమనించబడింది.

బ్యాంకింగ్ ట్రోజన్ బెదిరింపులను అందించడానికి సైబర్ నేరస్థులు ఫిషింగ్ వ్యూహాలను ఉపయోగించుకుంటారు

ఇన్‌వాయిస్‌లు, ఫైనాన్షియల్ స్టేట్‌మెంట్‌లు లేదా స్థానిక ప్రభుత్వం మరియు పన్ను ఏజెన్సీల నుండి ఉద్దేశించిన సందేశాలకు సంబంధించిన నిజమైన కమ్యూనికేషన్‌లను అనుకరించేలా నైపుణ్యంగా రూపొందించబడిన, సంభావ్య బాధితులకు ఉద్దేశించిన ఫిషింగ్ ఇమెయిల్‌లతో దాడులు ప్రారంభమవుతాయి. ఈ ప్రచారంలో మెజారిటీ ఇమెయిల్‌లు స్పానిష్‌లో ఉన్నాయని, లాటిన్ అమెరికాలోని దేశాలను లక్ష్యంగా చేసుకున్నారని పరిశోధకులు గమనించారు, అయితే ఇటాలియన్‌ని ఉపయోగించిన సందర్భాలు ఉన్నాయి. ఈ మోసపూరిత ఇమెయిల్‌లు Google క్లౌడ్ రన్‌లో హోస్ట్ చేయబడిన హానికరమైన వెబ్ సేవలకు వినియోగదారులను దారి మళ్లించే లింక్‌లను కలిగి ఉంటాయి.

కొన్ని సందర్భాల్లో, పేలోడ్ MSI ఫైల్‌ల ద్వారా పంపిణీ చేయబడుతుంది. ప్రత్యామ్నాయంగా, సేవ Google క్లౌడ్ స్టోరేజ్ స్థానానికి 302 దారి మళ్లింపును ఉపయోగిస్తుంది, ఇక్కడ బెదిరింపు MSI ఫైల్‌ని కలిగి ఉన్న జిప్ ఆర్కైవ్ నిల్వ చేయబడుతుంది. బాధితులు హానికరమైన MSI ఫైల్‌లను అమలు చేసిన తర్వాత, అదనపు భాగాలు మరియు పేలోడ్‌లు డౌన్‌లోడ్ చేయబడతాయి మరియు వారి సిస్టమ్‌లలో అమలు చేయబడతాయి. గమనించిన సందర్భాల్లో, రెండవ-దశ పేలోడ్ డెలివరీ చట్టబద్ధమైన Windows సాధనం 'BITSAdmin.'

నిలకడను నిర్ధారించడానికి మరియు రీబూట్‌లను మనుగడ సాగించడానికి, స్టార్టప్ ఫోల్డర్‌లో LNK ఫైల్‌లను ('sysupdates.setup.lnk') జోడించడం ద్వారా మాల్వేర్ బాధితుడి సిస్టమ్‌లో స్థిరపడుతుంది. ఈ LNK ఫైల్‌లు పవర్‌షెల్ ఆదేశాన్ని అమలు చేయడానికి కాన్ఫిగర్ చేయబడ్డాయి, అవి ఇన్‌ఫెక్షన్ స్క్రిప్ట్ ('ఆటోఐటి')ని అమలు చేస్తాయి.

బాధితుల ఆర్థిక డేటాను లక్ష్యంగా చేసుకునే మొబైల్ మాల్వేర్‌తో రాజీపడిన పరికరాలు సంక్రమించాయి

Google క్లౌడ్ రన్‌ను ఉపయోగించుకునే ప్రచారాలు మూడు బ్యాంకింగ్ ట్రోజన్‌లను కలిగి ఉన్నాయి: Ousaban, Astaroth మరియు Mekotio. ప్రతి ట్రోజన్ రహస్యంగా వ్యవస్థల్లోకి చొరబడేందుకు, నిలకడను స్థాపించడానికి మరియు బ్యాంకింగ్ ఖాతాలకు అనధికారిక యాక్సెస్ కోసం సున్నితమైన ఆర్థిక డేటాను అక్రమంగా పొందేందుకు రూపొందించబడింది.

Ousaban, బ్యాంకింగ్ ట్రోజన్, కీలాగింగ్, స్క్రీన్‌షాట్‌లను క్యాప్చర్ చేయడం మరియు నకిలీ (క్లోన్ చేయబడిన) బ్యాంకింగ్ పోర్టల్‌ల ద్వారా బ్యాంకింగ్ ఆధారాల కోసం ఫిషింగ్ వంటి సామర్థ్యాలను కలిగి ఉంది. అస్టారోత్ ఇన్ఫెక్షన్ చైన్‌లో తర్వాత దశలో Ousaban పరిచయం చేయబడిందని పరిశోధకులు గమనించారు, ఇది రెండు మాల్వేర్ కుటుంబాల ఆపరేటర్‌ల మధ్య సంభావ్య సహకారాన్ని సూచిస్తుంది లేదా రెండింటినీ పర్యవేక్షించే ఒకే ముప్పు నటుడి ప్రమేయాన్ని సూచిస్తుంది.

Astaroth అధునాతన ఎగవేత పద్ధతులను ఉపయోగిస్తుంది మరియు ప్రారంభంలో బ్రెజిలియన్ లక్ష్యాలపై దృష్టి పెడుతుంది కానీ లాటిన్ అమెరికాలోని 15 దేశాలలో 300 పైగా ఆర్థిక సంస్థలకు దాని పరిధిని విస్తరించింది. ఇటీవల, మాల్వేర్ క్రిప్టోకరెన్సీ మార్పిడి సేవల కోసం ఆధారాలను సేకరించడం ప్రారంభించింది. కీలాగింగ్, స్క్రీన్ క్యాప్చర్ మరియు క్లిప్‌బోర్డ్ మానిటరింగ్‌ని ఉపయోగించడం ద్వారా, Astaroth సున్నితమైన డేటాను పైల్ఫర్ చేయడమే కాకుండా బ్యాంకింగ్ ఆధారాలను సంగ్రహించడానికి ఇంటర్నెట్ ట్రాఫిక్‌ను అడ్డగిస్తుంది మరియు తారుమారు చేస్తుంది.

మెకోటియో, చాలా సంవత్సరాలు చురుకుగా ఉంది, లాటిన్ అమెరికన్ ప్రాంతంపై దృష్టి కేంద్రీకరిస్తుంది. బ్యాంకింగ్ ఆధారాలు మరియు వ్యక్తిగత సమాచారాన్ని దొంగిలించడం మరియు మోసపూరిత లావాదేవీలను అమలు చేయడం కోసం ప్రసిద్ధి చెందిన Mekotio వినియోగదారులను ఫిషింగ్ సైట్‌లకు మళ్లించడానికి వెబ్ బ్రౌజర్‌లను మార్చగలదు.