Trojan ngân hàng Ousaban

Các chuyên gia bảo mật cảnh báo rằng tin tặc đang khai thác dịch vụ Google Cloud Run để phát tán số lượng lớn Trojan ngân hàng. Tội phạm mạng đang sử dụng nhiều mối đe dọa phần mềm độc hại di động khác nhau, chẳng hạn như Ousaban, cùng với các Trojan ngân hàng khác như Astaroth và Mekotio .

Google Cloud Run trao quyền cho người dùng triển khai các dịch vụ, trang web hoặc ứng dụng giao diện người dùng và phụ trợ, quản lý khối lượng công việc mà không gặp phải sự phức tạp trong việc quản lý hoặc mở rộng quy mô cơ sở hạ tầng. Việc sử dụng sai mục đích dịch vụ của Google để phân phối phần mềm độc hại lần đầu tiên được quan sát thấy vào tháng 9 năm 2023 khi các hacker Brazil bắt đầu các chiến dịch sử dụng tệp trình cài đặt MSI để triển khai tải trọng phần mềm độc hại.

Tội phạm mạng khai thác chiến thuật lừa đảo để phát tán mối đe dọa Trojan ngân hàng

Các cuộc tấn công bắt đầu bằng các email lừa đảo nhắm vào các nạn nhân tiềm năng, được thiết kế khéo léo để bắt chước các thông tin liên lạc chân thực liên quan đến hóa đơn, báo cáo tài chính hoặc tin nhắn được cho là từ chính quyền địa phương và cơ quan thuế. Các nhà nghiên cứu lưu ý rằng phần lớn email trong chiến dịch này là bằng tiếng Tây Ban Nha, nhắm mục tiêu đến các quốc gia ở Mỹ Latinh, nhưng có những trường hợp sử dụng tiếng Ý. Những email lừa đảo này chứa các liên kết chuyển hướng người dùng đến các dịch vụ web độc hại được lưu trữ trên Google Cloud Run.

Trong một số trường hợp nhất định, tải trọng được phân phối qua tệp MSI. Ngoài ra, dịch vụ này sử dụng chuyển hướng 302 đến vị trí Google Cloud Storage, nơi lưu trữ kho lưu trữ ZIP chứa tệp MSI đe dọa. Khi nạn nhân thực thi các tệp MSI độc hại, các thành phần và tải trọng bổ sung sẽ được tải xuống và thực thi trên hệ thống của họ. Trong các trường hợp được quan sát, việc phân phối tải trọng giai đoạn hai khai thác công cụ Windows hợp pháp 'BITSAdmin'.

Để đảm bảo tính bền bỉ và tồn tại trong quá trình khởi động lại, phần mềm độc hại sẽ tự thiết lập trên hệ thống của nạn nhân bằng cách thêm các tệp LNK ('sysupdates.setup.lnk') vào thư mục Khởi động. Các tệp LNK này được định cấu hình để thực thi lệnh PowerShell, lệnh này sẽ chạy tập lệnh lây nhiễm ('AutoIT').

Các thiết bị bị xâm nhập bị nhiễm phần mềm độc hại di động nhắm mục tiêu dữ liệu tài chính của nạn nhân

Các chiến dịch khai thác Google Cloud Run có ba Trojan ngân hàng: Ousaban, Astaroth và Mekotio. Mỗi Trojan được tạo ra để lén lút xâm nhập vào hệ thống, thiết lập tính bền bỉ và lấy trái phép dữ liệu tài chính nhạy cảm để truy cập trái phép vào tài khoản ngân hàng.

Ousaban, một Trojan ngân hàng, sở hữu các khả năng như ghi nhật ký thao tác bàn phím, chụp ảnh màn hình và lừa đảo để lấy thông tin xác thực ngân hàng thông qua các cổng ngân hàng giả mạo (nhân bản). Các nhà nghiên cứu quan sát thấy rằng Ousaban được giới thiệu ở giai đoạn sau trong chuỗi lây nhiễm Astaroth, cho thấy sự hợp tác tiềm năng giữa những kẻ điều hành hai họ phần mềm độc hại hoặc sự tham gia của một tác nhân đe dọa duy nhất giám sát cả hai.

Astaroth sử dụng các kỹ thuật trốn tránh tiên tiến và ban đầu tập trung vào các mục tiêu ở Brazil nhưng đã mở rộng phạm vi tới hơn 300 tổ chức tài chính trên 15 quốc gia ở Mỹ Latinh. Gần đây, phần mềm độc hại đã bắt đầu thu thập thông tin xác thực cho các dịch vụ trao đổi tiền điện tử. Bằng cách sử dụng keylogging, chụp màn hình và giám sát clipboard, Astaroth không chỉ đánh cắp dữ liệu nhạy cảm mà còn chặn và thao túng lưu lượng truy cập internet để lấy thông tin xác thực ngân hàng.

Mekotio, hoạt động được vài năm, tập trung vào khu vực Mỹ Latinh. Nổi tiếng với việc đánh cắp thông tin xác thực ngân hàng và thông tin cá nhân cũng như thực hiện các giao dịch gian lận, Mekotio có thể thao túng trình duyệt web để chuyển hướng người dùng đến các trang web lừa đảo.