Ousaban 银行木马

安全专家警告称，黑客正在利用 Google Cloud Run 服务传播大量银行木马。网络犯罪分子正在利用各种移动恶意软件威胁，例如 Ousaban，以及Astaroth和Mekotio等其他银行木马。

Google Cloud Run 使用户能够部署前端和后端服务、网站或应用程序，管理工作负载，而无需复杂的基础设施管理或扩展。滥用 Google 服务进行恶意软件分发的情况首次出现在 2023 年 9 月，当时巴西攻击者发起了利用 MSI 安装程序文件部署恶意软件有效负载的活动。

网络犯罪分子利用网络钓鱼策略来传播银行木马威胁

这些攻击首先是针对潜在受害者的网络钓鱼电子邮件，这些电子邮件经过精心设计，旨在模仿与发票、财务报表或据称来自当地政府和税务机构的消息相关的真实通信。研究人员指出，该活动中的大多数电子邮件都是西班牙语，针对拉丁美洲国家，但也有使用意大利语的情况。这些欺骗性电子邮件包含将用户重定向到 Google Cloud Run 上托管的恶意网络服务的链接。

在某些情况下，有效负载通过 MSI 文件传递。或者，该服务使用 302 重定向到 Google Cloud Storage 位置，其中存储了包含威胁 MSI 文件的 ZIP 存档。受害者执行恶意 MSI 文件后，会下载其他组件和有效负载并在其系统上执行。在观察到的情况下，第二阶段有效负载传输利用合法的 Windows 工具“BITSAdmin”。

为了确保持久性并在重新启动后仍能幸存，恶意软件通过在启动文件夹中添加 LNK 文件（“sysupdates.setup.lnk”）来在受害者的系统上建立自身。这些 LNK 文件被配置为执行 PowerShell 命令，进而运行感染脚本（“AutoIT”）。

受感染的设备感染了针对受害者财务数据的移动恶意软件

利用 Google Cloud Run 的活动包含三种银行木马：Ousaban、Astaroth 和 Mekotio。每个特洛伊木马都经过精心设计，旨在秘密渗透系统、建立持久性并非法获取敏感财务数据，以便未经授权访问银行账户。

Ousaban 是一种银行木马，具有键盘记录、捕获屏幕截图以及通过伪造（克隆）银行门户网站钓鱼获取银行凭证等功能。研究人员观察到，Ousaban 是在 Astaroth 感染链的后期引入的，这表明两个恶意软件家族的操作者之间可能存在合作，或者单个威胁行为者参与监督这两个恶意软件家族。

Astaroth 采用先进的规避技术，最初专注于巴西目标，但现已将其范围扩大到拉丁美洲 15 个国家的 300 多家金融机构。最近，该恶意软件已开始收集加密货币交换服务的凭据。利用键盘记录、屏幕捕获和剪贴板监控，Astaroth 不仅窃取敏感数据，还拦截和操纵互联网流量以捕获银行凭证。

Mekotio 活跃多年，专注于拉丁美洲地区。 Mekotio 以窃取银行凭证和个人信息以及执行欺诈交易而闻名，它可以操纵网络浏览器将用户重定向到网络钓鱼网站。