Ousaban Bankacılık Truva Atı

Güvenlik uzmanları, bilgisayar korsanlarının büyük miktarlarda bankacılık Truva Atını yaymak için Google Cloud Run hizmetinden yararlandıkları konusunda uyarıyor. Siber suçlular, Ousaban gibi çeşitli mobil kötü amaçlı yazılım tehditlerinin yanı sıra Astaroth ve Mekotio gibi diğer bankacılık Truva Atlarını da kullanıyor.

Google Cloud Run, kullanıcılara ön uç ve arka uç hizmetlerini, web sitelerini veya uygulamalarını dağıtma ve altyapı yönetimi veya ölçeklendirme karmaşıklığı olmadan iş yüklerini yönetme olanağı sağlar. Google'ın hizmetinin kötü amaçlı yazılım dağıtımı için kötüye kullanımı ilk kez Eylül 2023'te Brezilyalı aktörlerin kötü amaçlı yazılım yüklerini dağıtmak için MSI yükleyici dosyalarını kullanan kampanyalar başlatmasıyla gözlemlendi.

Siber Suçlular Bankacılık Truva Atı Tehditlerini Sağlamak İçin Kimlik Avı Taktiklerinden Yararlanıyor

Saldırılar, potansiyel kurbanlara yönelik, faturalar, mali tablolar veya yerel hükümet ve vergi kurumlarından geldiği iddia edilen mesajlarla ilgili gerçek iletişimleri taklit etmek üzere ustaca tasarlanmış kimlik avı e-postalarıyla başlıyor. Araştırmacılar, bu kampanyadaki e-postaların çoğunluğunun İspanyolca olduğunu ve Latin Amerika'daki ülkeleri hedef aldığını ancak İtalyancanın kullanıldığı örneklerin de bulunduğunu belirtiyor. Bu yanıltıcı e-postalar, kullanıcıları Google Cloud Run'da barındırılan kötü amaçlı web hizmetlerine yönlendiren bağlantılar içerir.

Belirli senaryolarda yük, MSI dosyaları aracılığıyla teslim edilir. Alternatif olarak hizmet, tehdit edici bir MSI dosyası içeren bir ZIP arşivinin depolandığı Google Cloud Storage konumuna 302 yönlendirmesi kullanıyor. Kötü amaçlı MSI dosyalarının kurbanlar tarafından çalıştırılması üzerine ek bileşenler ve yükler, sistemlerine indirilip çalıştırılıyor. Gözlemlenen durumlarda, ikinci aşama yük dağıtımı meşru Windows aracı 'BITSAdmin'den yararlanır.

Kalıcılığı sağlamak ve yeniden başlatmalardan kurtulmak için, kötü amaçlı yazılım, Başlangıç klasörüne LNK dosyalarını ('sysupdates.setup.lnk') ekleyerek kurbanın sistemine yerleşir. Bu LNK dosyaları, enfeksiyon komut dosyasını ("AutoIT") çalıştıran bir PowerShell komutunu yürütecek şekilde yapılandırılmıştır.

Güvenliği Ele Geçirilmiş Cihazlara Mağdurların Mali Verilerini Hedefleyen Mobil Kötü Amaçlı Yazılım Bulaşıyor

Google Cloud Run'dan yararlanan kampanyalarda üç bankacılık Truva atı bulunuyor: Ousaban, Astaroth ve Mekotio. Her Truva Atı, sistemlere gizlice sızmak, kalıcılık oluşturmak ve bankacılık hesaplarına yetkisiz erişim için hassas finansal verileri yasadışı bir şekilde elde etmek üzere tasarlanmıştır.

Bir bankacılık Truva atı olan Ousaban, sahte (klonlanmış) bankacılık portalları aracılığıyla bankacılık kimlik bilgileri için tuş günlüğü tutma, ekran görüntüsü yakalama ve kimlik avı gibi yeteneklere sahiptir. Araştırmacılar, Ousaban'ın Astaroth enfeksiyon zincirinin daha sonraki bir aşamasında ortaya çıktığını gözlemliyor ve bu durum, iki kötü amaçlı yazılım ailesinin operatörleri arasında potansiyel bir işbirliğine veya her ikisini de denetleyen tek bir tehdit aktörünün dahil olduğuna işaret ediyor.

Astaroth gelişmiş kaçınma teknikleri kullanıyor ve başlangıçta Brezilya hedeflerine odaklanıyor, ancak kapsamını Latin Amerika'daki 15 ülkede 300'den fazla finans kuruluşuna genişletti. Son zamanlarda kötü amaçlı yazılım, kripto para birimi değişim hizmetleri için kimlik bilgileri toplamaya başladı. Tuş günlüğü tutma, ekran yakalama ve pano izleme özelliklerini kullanan Astaroth, yalnızca hassas verileri çalmakla kalmıyor, aynı zamanda bankacılık bilgilerini ele geçirmek için internet trafiğini de yakalayıp yönetiyor.

Birkaç yıldır faaliyet gösteren Mekotio, Latin Amerika bölgesine yoğunlaşıyor. Bankacılık kimlik bilgilerini ve kişisel bilgileri çalması ve sahte işlemler gerçekleştirmesiyle tanınan Mekotio, kullanıcıları kimlik avı sitelerine yönlendirmek için web tarayıcılarını değiştirebiliyor.