Ousaban 銀行木馬

安全專家警告稱，駭客正在利用 Google Cloud Run 服務傳播大量銀行木馬。網路犯罪分子正在利用各種行動惡意軟體威脅，例如 Ousaban，以及Astaroth和Mekotio等其他銀行木馬。

Google Cloud Run 使用戶能夠部署前端和後端服務、網站或應用程序，管理工作負載，而無需複雜的基礎架構管理或擴充。濫用 Google 服務進行惡意軟體分發的情況首次出現在 2023 年 9 月，當時巴西攻擊者發起了利用 MSI 安裝程式檔案部署惡意軟體有效負載的活動。

網路犯罪分子利用網路釣魚策略來傳播銀行木馬威脅

這些攻擊首先是針對潛在受害者的網路釣魚電子郵件，這些電子郵件經過精心設計，旨在模仿與發票、財務報表或據稱來自當地政府和稅務機構的消息相關的真實通信。研究人員指出，該活動中的電子郵件大多是西班牙語，針對拉丁美洲國家，但也有使用義大利語的情況。這些欺騙性電子郵件包含將使用者重新導向至 Google Cloud Run 上託管的惡意網路服務的連結。

在某些情況下，有效負載會透過 MSI 檔案傳遞。或者，該服務使用 302 重定向到 Google Cloud Storage 位置，其中儲存了包含威脅 MSI 檔案的 ZIP 檔案。受害者執行惡意 MSI 檔案後，會下載其他元件和有效負載並在其係統上執行。在觀察到的情況下，第二階段有效負載傳輸利用合法的 Windows 工具「BITSAdmin」。

為了確保持久性並在重新啟動後仍能倖存，惡意軟體透過在啟動資料夾中新增 LNK 檔案（「sysupdates.setup.lnk」）來在受害者的系統上建立自身。這些 LNK 檔案被設定為執行 PowerShell 命令，進而執行感染腳本（「AutoIT」）。

受感染的裝置感染了針對受害者財務數據的行動惡意軟體

利用 Google Cloud Run 的活動包含三種銀行木馬：Ousaban、Astaroth 和 Mekotio。每個特洛伊木馬都經過精心設計，旨在秘密滲透系統、建立持久性並非法獲取敏感財務數據，以便未經授權存取銀行帳戶。

Ousaban 是一種銀行木馬，具有鍵盤記錄、捕獲螢幕截圖以及透過偽造（克隆）銀行入口網站釣魚獲取銀行憑證等功能。研究人員觀察到，Ousaban 是在 Astaroth 感染鏈的後期引入的，這表明兩個惡意軟體家族的操作者之間可能存在合作，或者單一威脅行為者參與監督這兩個惡意軟體家族。

Astaroth 採用先進的規避技術，最初專注於巴西目標，但現已將其範圍擴大到拉丁美洲 15 個國家的 300 多家金融機構。最近，該惡意軟體已開始收集加密貨幣交換服務的憑證。利用鍵盤記錄、螢幕擷取和剪貼簿監控，Astaroth 不僅竊取敏感數據，還攔截和操縱網路流量以擷取銀行憑證。

Mekotio 活躍多年，專注於拉丁美洲地區。 Mekotio 以竊取銀行憑證和個人資訊以及執行詐騙交易而聞名，它可以操縱網路瀏覽器將用戶重新導向到網路釣魚網站。