Ousaban Banking Trojan Brugt i Phishing-angreb

Sikkerhedseksperter advarer om en stigning i e-mail-phishing-angreb, der bruger Google Cloud Run-tjenesten til at distribuere forskellige banktrojanske heste som Astaroth (også kendt som Guildma), Mekotio og Ousaban (alias Javali) til mål i Latinamerika (LATAM) og Europa.

Forskere fra Cisco Talos afslørede i sidste uge, at infektionskæderne forbundet med disse malwaretyper involverer brugen af ondsindede Microsoft Installers (MSI'er), der fungerer som droppere eller downloadere for de sidste malware-nyttelaster. Disse højvolumen-malware-distributionskampagner, der er observeret siden september 2023, har konsekvent brugt den samme lagerplads i Google Cloud til udbredelse, hvilket tyder på potentielle forbindelser mellem trusselsaktørerne, der orkestrerer disse distributionskampagner.

Google Cloud Run, en administreret computerplatform, der giver brugerne mulighed for at køre forskellige tjenester og arbejdsbelastninger, ses af modstandere som et omkostningseffektivt og effektivt middel til at implementere distributionsinfrastruktur på platforme, som organisationer sandsynligvis ikke begrænser interne systemer i at få adgang til, ifølge forskerne .

Mest Phishing-spam kommer fra Brasilien

De fleste systemer, der er ansvarlige for at sende phishing-beskeder, stammer fra Brasilien, efterfulgt af USA, Rusland, Mexico, Argentina, Ecuador, Sydafrika, Frankrig, Spanien og Bangladesh. Phishing-e-mails kredser typisk om temaer relateret til fakturaer, økonomiske forhold eller skattedokumenter, nogle gange forklædt som kommunikation fra lokale skattemyndigheder.

Disse e-mails indeholder links, der fører til et websted, der hostes på køre[.]app, hvilket resulterer i levering af et ZIP-arkiv, der indeholder en ondsindet MSI-fil enten direkte eller gennem 302-omdirigeringer til en Google Cloud Storage-placering. Trusselsaktørerne har også forsøgt at unddrage sig opdagelse ved at omdirigere besøgende ved hjælp af geofencing-tricks, og sende dem med amerikanske IP-adresser til legitime websteder som Google.

Ud over at bruge den samme infrastruktur til Mekotio og Astaroth, bruges infektionskæden forbundet med Astaroth til at distribuere Ousaban. Alle tre trojanske heste er specifikt designet til at målrette mod finansielle institutioner, overvåge brugernes webaktivitet, logge tastetryk og tage skærmbilleder, hvis målbankens hjemmeside er åben.

Ousaban har en historie med at udnytte cloud-tjenester, idet han tidligere har brugt Amazon S3 og Microsoft Azure til at downloade andet trins nyttelast og Google Docs til at hente kommando-og-kontrol (C2)-konfigurationer.

Denne udvikling sker sideløbende med phishing-kampagner, der spreder malware-familier såsom DCRat, Remcos RAT og DarkVNC, der er i stand til at høste følsomme data og tage kontrol over kompromitterede værter. Derudover har der været en stigning i trusselsaktører, der implementerer QR-koder i phishing og e-mail-baserede angreb (quishing) for at bedrage potentielle ofre til at installere malware på deres mobile enheder.