Банківський троян Ousaban

Експерти з безпеки попереджають, що хакери використовують службу Google Cloud Run для поширення великої кількості банківських троянів. Кіберзлочинці використовують різноманітні загрози для мобільних пристроїв, такі як Ousaban, а також інші банківські трояни, такі як Astaroth і Mekotio .

Google Cloud Run дає змогу користувачам розгортати зовнішні та внутрішні служби, веб-сайти чи програми, керуючи робочими навантаженнями без складнощів керування інфраструктурою чи масштабування. Зловживання службою Google для розповсюдження зловмисного програмного забезпечення вперше було помічено у вересні 2023 року, коли бразильські актори ініціювали кампанії, використовуючи файли інсталятора MSI для розгортання шкідливого програмного забезпечення.

Кіберзлочинці використовують тактику фішингу для поширення банківських троянських програм

Атаки починаються з фішингових електронних листів, спрямованих на потенційних жертв, майстерно розроблених для імітації справжніх повідомлень, пов’язаних із рахунками-фактурами, фінансовими звітами або повідомленнями, які нібито надійшли від місцевих органів влади та податкових органів. Дослідники відзначають, що більшість електронних листів у цій кампанії написані іспанською мовою, орієнтовані на країни Латинської Америки, але є випадки, коли використовується італійська. Ці оманливі електронні листи містять посилання, які перенаправляють користувачів на шкідливі веб-сервіси, розміщені на Google Cloud Run.

У деяких сценаріях корисне навантаження доставляється через файли MSI. Крім того, служба використовує перенаправлення 302 до Google Cloud Storage, де зберігається ZIP-архів із загрозливим файлом MSI. Після запуску шкідливих файлів MSI жертвами додаткові компоненти та корисні дані завантажуються та виконуються в їхніх системах. У спостережених випадках доставка корисного навантаження на другому етапі використовує законний інструмент Windows «BITSAdmin».

Щоб забезпечити стійкість і витримати перезавантаження, зловмисне програмне забезпечення закріплюється в системі жертви, додаючи файли LNK ('sysupdates.setup.lnk') у папку автозавантаження. Ці файли LNK налаштовані на виконання команди PowerShell, яка, у свою чергу, запускає сценарій зараження («AutoIT»).

Зламані пристрої заражені шкідливим мобільним програмним забезпеченням, націленим на фінансові дані жертв

Кампанії, що використовують Google Cloud Run, містять три банківських трояна: Ousaban, Astaroth і Mekotio. Кожен троян створений для непомітного проникнення в системи, встановлення стійкості та незаконного отримання конфіденційних фінансових даних для несанкціонованого доступу до банківських рахунків.

Ousaban, банківський троян, має такі можливості, як клавіатурний журнал, створення скріншотів і фішинг банківських облікових даних через підроблені (клоновані) банківські портали. Дослідники відзначають, що Ousaban з’являється на більш пізньому етапі ланцюга зараження Astaroth, що свідчить про потенційну співпрацю між операторами двох сімейств шкідливого програмного забезпечення або залучення одного учасника загрози, який контролює обидва.

Astaroth використовує передові методи ухилення та спочатку зосереджується на бразильських цілях, але розширив сферу діяльності до понад 300 фінансових установ у 15 країнах Латинської Америки. Нещодавно зловмисне програмне забезпечення почало збирати облікові дані для служб обміну криптовалютою. Використовуючи клавіатурні журнали, захоплення екрана та моніторинг буфера обміну, Astaroth не лише викрадає конфіденційні дані, але й перехоплює та маніпулює інтернет-трафіком, щоб отримати банківські облікові дані.

Mekotio, який працює протягом кількох років, зосереджується на регіоні Латинської Америки. Мекотіо, відомий крадіжкою банківських облікових даних і особистої інформації та здійсненням шахрайських транзакцій, може маніпулювати веб-браузерами, щоб перенаправляти користувачів на фішингові сайти.