โทรจัน Ousaban Banking

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าแฮกเกอร์กำลังใช้ประโยชน์จากบริการ Google Cloud Run เพื่อเผยแพร่โทรจันธนาคารจำนวนมาก อาชญากรไซเบอร์ใช้ภัยคุกคามมัลแวร์บนมือถือ เช่น Ousaban ร่วมกับโทรจันธนาคารอื่นๆ เช่น Astaroth และ Mekotio

Google Cloud Run ช่วยให้ผู้ใช้สามารถปรับใช้บริการฟรอนต์เอนด์และแบ็กเอนด์ เว็บไซต์ หรือแอปพลิเคชัน จัดการปริมาณงานโดยไม่ต้องมีความซับซ้อนในการจัดการโครงสร้างพื้นฐานหรือการปรับขนาด การใช้บริการของ Google ในทางที่ผิดสำหรับการเผยแพร่มัลแวร์เกิดขึ้นครั้งแรกในเดือนกันยายน 2023 เมื่อนักแสดงชาวบราซิลเริ่มแคมเปญที่ใช้ไฟล์ตัวติดตั้ง MSI เพื่อปรับใช้เพย์โหลดของมัลแวร์

อาชญากรไซเบอร์ใช้ประโยชน์จากกลยุทธ์ฟิชชิ่งเพื่อส่งภัยคุกคามโทรจันธนาคาร

การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่มุ่งเป้าไปที่ผู้ที่อาจเป็นเหยื่อ ซึ่งได้รับการออกแบบอย่างเชี่ยวชาญเพื่อเลียนแบบการสื่อสารจริงที่เกี่ยวข้องกับใบแจ้งหนี้ ใบแจ้งยอดทางการเงิน หรือข้อความที่อ้างว่ามาจากรัฐบาลท้องถิ่นและหน่วยงานด้านภาษี นักวิจัยตั้งข้อสังเกตว่าอีเมลส่วนใหญ่ในแคมเปญนี้เป็นภาษาสเปนโดยกำหนดเป้าหมายไปยังประเทศในละตินอเมริกา แต่มีบางกรณีที่มีการใช้ภาษาอิตาลี อีเมลหลอกลวงเหล่านี้มีลิงก์ที่เปลี่ยนเส้นทางผู้ใช้ไปยังบริการเว็บที่เป็นอันตรายซึ่งโฮสต์บน Google Cloud Run

ในบางสถานการณ์ เพย์โหลดจะถูกส่งผ่านไฟล์ MSI อีกทางหนึ่ง บริการใช้การเปลี่ยนเส้นทาง 302 ไปยังตำแหน่ง Google Cloud Storage ซึ่งเป็นที่จัดเก็บไฟล์ ZIP ที่มีไฟล์ MSI ที่เป็นอันตราย เมื่อมีการเรียกใช้ไฟล์ MSI ที่เป็นอันตรายโดยเหยื่อ ส่วนประกอบเพิ่มเติมและเพย์โหลดจะถูกดาวน์โหลดและดำเนินการบนระบบของพวกเขา ในกรณีที่สังเกตพบ การจัดส่งเพย์โหลดขั้นที่สองจะใช้ประโยชน์จากเครื่องมือ Windows ที่ถูกต้อง 'BITSAdmin'

เพื่อให้มั่นใจถึงความคงอยู่และรอดจากการรีบูต มัลแวร์จึงสร้างตัวเองในระบบของเหยื่อโดยการเพิ่มไฟล์ LNK ('sysupdates.setup.lnk') ลงในโฟลเดอร์ Startup ไฟล์ LNK เหล่านี้ได้รับการกำหนดค่าให้ดำเนินการคำสั่ง PowerShell ซึ่งจะเรียกใช้สคริปต์การติดไวรัส ('AutoIT')

อุปกรณ์ที่ถูกบุกรุกจะติดมัลแวร์บนมือถือซึ่งกำหนดเป้าหมายข้อมูลทางการเงินของเหยื่อ

แคมเปญที่ใช้ประโยชน์จาก Google Cloud Run มีโทรจันธนาคาร 3 ตัว ได้แก่ Ousaban, Astaroth และ Mekotio โทรจันแต่ละตัวถูกสร้างขึ้นมาเพื่อแทรกซึมระบบอย่างลับๆ สร้างความคงอยู่ และรับข้อมูลทางการเงินที่ละเอียดอ่อนอย่างผิดกฎหมายสำหรับการเข้าถึงบัญชีธนาคารโดยไม่ได้รับอนุญาต

Ousaban ซึ่งเป็นโทรจันการธนาคาร มีความสามารถต่างๆ เช่น การล็อกคีย์ การจับภาพหน้าจอ และฟิชชิ่งสำหรับข้อมูลประจำตัวของธนาคารผ่านพอร์ทัลธนาคารปลอม (โคลน) นักวิจัยตั้งข้อสังเกตว่า Ousaban ได้รับการแนะนำในระยะต่อมาในห่วงโซ่การติดเชื้อ Astaroth โดยเสนอแนะถึงความร่วมมือที่อาจเกิดขึ้นระหว่างผู้ดำเนินการมัลแวร์ทั้งสองตระกูล หรือการมีส่วนร่วมของผู้แสดงภัยคุกคามเพียงรายเดียวที่ดูแลทั้งสองกลุ่ม

Astaroth ใช้เทคนิคการหลีกเลี่ยงขั้นสูง และในตอนแรกมุ่งเน้นไปที่เป้าหมายของบราซิล แต่ได้ขยายขอบเขตไปยังสถาบันการเงินมากกว่า 300 แห่งใน 15 ประเทศในละตินอเมริกา ล่าสุดมัลแวร์ได้เริ่มรวบรวมข้อมูลประจำตัวสำหรับบริการแลกเปลี่ยนสกุลเงินดิจิทัล การใช้คีย์ล็อก การจับภาพหน้าจอ และการตรวจสอบคลิปบอร์ด Astaroth ไม่เพียงแต่ขโมยข้อมูลที่ละเอียดอ่อนเท่านั้น แต่ยังดักจับและจัดการการรับส่งข้อมูลอินเทอร์เน็ตเพื่อบันทึกข้อมูลประจำตัวของธนาคาร

Mekotio ซึ่งมีบทบาทมานานหลายปี มุ่งเน้นไปที่ภูมิภาคละตินอเมริกา Mekotio เป็นที่รู้จักจากการขโมยข้อมูลรับรองธนาคารและข้อมูลส่วนบุคคล และดำเนินธุรกรรมที่ฉ้อโกง โดยสามารถจัดการเว็บเบราว์เซอร์เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ฟิชชิ่งได้