Ousaban Banking Trojan

Nag-iingat ang mga eksperto sa seguridad na sinasamantala ng mga hacker ang serbisyo ng Google Cloud Run upang magpakalat ng malaking dami ng mga Trojan sa pagbabangko. Gumagamit ang mga cybercriminal ng iba't ibang banta sa mobile malware, tulad ng Ousaban, kasama ng iba pang mga Trojan sa pagbabangko tulad ng Astaroth at Mekotio .

Ang Google Cloud Run ay nagbibigay ng kapangyarihan sa mga user na mag-deploy ng frontend at backend na mga serbisyo, website, o application, na namamahala sa mga workload nang walang mga kumplikado ng pamamahala o pag-scale ng imprastraktura. Ang maling paggamit ng serbisyo ng Google para sa pamamahagi ng malware ay unang naobserbahan noong Setyembre 2023 nang sinimulan ng mga aktor sa Brazil ang mga campaign na gumagamit ng mga file ng installer ng MSI upang mag-deploy ng mga payload ng malware.

Sinasamantala ng mga Cybercriminal ang Phishing Tactics para Maghatid ng Mga Banta sa Trojan sa Pagbabangko

Nagsisimula ang mga pag-atake sa mga email ng phishing na nakadirekta sa mga potensyal na biktima, na mahusay na idinisenyo upang gayahin ang mga tunay na komunikasyon na nauugnay sa mga invoice, financial statement, o mga mensahe na sinasabing mula sa lokal na pamahalaan at mga ahensya ng buwis. Napansin ng mga mananaliksik na ang karamihan ng mga email sa campaign na ito ay nasa Spanish, na nagta-target ng mga bansa sa Latin America, ngunit may mga pagkakataon kung saan ginagamit ang Italyano. Ang mga mapanlinlang na email na ito ay naglalaman ng mga link na nagre-redirect ng mga user sa mga nakakahamak na serbisyo sa web na naka-host sa Google Cloud Run.

Sa ilang partikular na sitwasyon, ang payload ay inihahatid sa pamamagitan ng mga MSI file. Bilang kahalili, ang serbisyo ay gumagamit ng 302 na pag-redirect sa isang lokasyon ng Google Cloud Storage, kung saan nakaimbak ang isang ZIP archive na naglalaman ng nagbabantang MSI file. Sa pag-execute ng mga malisyosong MSI file ng mga biktima, ang mga karagdagang bahagi at payload ay dina-download at isinasagawa sa kanilang mga system. Sa mga naobserbahang kaso, sinasamantala ng ikalawang yugto ng paghahatid ng kargamento ang lehitimong tool sa Windows na 'BITSAdmin.'

Upang matiyak ang pagtitiyaga at makaligtas sa mga pag-reboot, itinatatag ng malware ang sarili nito sa system ng biktima sa pamamagitan ng pagdaragdag ng mga LNK file ('sysupdates.setup.lnk') sa folder ng Startup. Ang mga LNK file na ito ay naka-configure upang magsagawa ng PowerShell command na, sa turn, ay nagpapatakbo ng script ng impeksyon ('AutoIT').

Ang Mga Nakompromisong Device ay Nahawaan ng Data sa Pananalapi ng Mga Biktima sa Pag-target ng Mobile Malware

Ang mga kampanyang nagsasamantala sa Google Cloud Run ay nagtatampok ng tatlong banking Trojan: Ousaban, Astaroth at Mekotio. Ang bawat Trojan ay ginawa upang palihim na makalusot sa mga system, magtatag ng pagtitiyaga, at hindi labag sa batas na makakuha ng sensitibong data sa pananalapi para sa hindi awtorisadong pag-access sa mga account sa pagbabangko.

Ang Ousaban, isang banking Trojan, ay nagtataglay ng mga kakayahan tulad ng keylogging, pagkuha ng mga screenshot, at phishing para sa mga kredensyal sa pagbabangko sa pamamagitan ng mga pekeng (clone) na banking portal. Napagmasdan ng mga mananaliksik na ang Ousaban ay ipinakilala sa mas huling yugto sa Astaroth infection chain, na nagmumungkahi ng potensyal na pakikipagtulungan sa pagitan ng mga operator ng dalawang pamilya ng malware o ang paglahok ng isang banta na aktor na nangangasiwa sa pareho.

Gumagamit ang Astaroth ng mga advanced na diskarte sa pag-iwas at sa una ay tumutuon sa mga target sa Brazil ngunit pinalawak nito ang saklaw nito sa mahigit 300 institusyong pinansyal sa 15 bansa sa Latin America. Kamakailan, ang malware ay nagsimulang mangolekta ng mga kredensyal para sa mga serbisyo ng palitan ng cryptocurrency. Gamit ang keylogging, pag-capture ng screen, at pagsubaybay sa clipboard, hindi lang kinukuha ng Astaroth ang sensitibong data kundi hinaharang at minamanipula rin ang trapiko sa internet upang makuha ang mga kredensyal sa pagbabangko.

Ang Mekotio, na aktibo sa loob ng ilang taon, ay tumutuon sa rehiyon ng Latin America. Kilala sa pagnanakaw ng mga kredensyal sa pagbabangko at personal na impormasyon at pagsasagawa ng mga mapanlinlang na transaksyon, maaaring manipulahin ng Mekotio ang mga web browser upang i-redirect ang mga user sa mga phishing na site.