Ousaban-Banking-Trojaner wird bei Phishing-Angriffen eingesetzt

Sicherheitsexperten warnen vor einem Anstieg von E-Mail-Phishing-Angriffen, die den Google Cloud Run-Dienst nutzen, um verschiedene Banktrojaner wie Astaroth (auch bekannt als Guildma), Mekotio und Ousaban (auch bekannt als Javali) an Ziele in Lateinamerika (LATAM) und Europa zu verbreiten.

Forscher von Cisco Talos enthüllten letzte Woche, dass die mit diesen Malware-Typen verbundenen Infektionsketten den Einsatz bösartiger Microsoft Installer (MSIs) beinhalten, die als Dropper oder Downloader für die endgültigen Malware-Payloads fungieren. Diese großvolumigen Malware-Verbreitungskampagnen, die seit September 2023 beobachtet werden, nutzen stets denselben Speicher-Bucket in Google Cloud zur Verbreitung, was auf mögliche Verbindungen zwischen den Bedrohungsakteuren schließen lässt, die diese Verbreitungskampagnen orchestrieren.

Google Cloud Run, eine verwaltete Computing-Plattform, die es Benutzern ermöglicht, verschiedene Dienste und Workloads auszuführen, wird von Angreifern als kostengünstiges und effizientes Mittel zur Bereitstellung einer Verteilungsinfrastruktur auf Plattformen angesehen, auf die Unternehmen den Zugriff interner Systeme wahrscheinlich nicht einschränken, so die Forscher .

Der meiste Phishing-Spam kommt aus Brasilien

Die meisten Systeme, die für den Versand von Phishing-Nachrichten verantwortlich sind, stammen aus Brasilien, gefolgt von den USA, Russland, Mexiko, Argentinien, Ecuador, Südafrika, Frankreich, Spanien und Bangladesch. Die Phishing-E-Mails drehen sich in der Regel um Themen im Zusammenhang mit Rechnungen, Finanzangelegenheiten oder Steuerdokumenten und tarnen sich manchmal als Mitteilungen lokaler Steuerbehörden.

Diese E-Mails enthalten Links, die zu einer auf run[.]app gehosteten Website führen, was zur Zustellung eines ZIP-Archivs mit einer schädlichen MSI-Datei führt, entweder direkt oder über 302-Weiterleitungen an einen Google Cloud Storage-Speicherort. Die Bedrohungsakteure haben auch versucht, sich der Entdeckung zu entziehen, indem sie Besucher mithilfe von Geofencing-Tricks umgeleitet und diejenigen mit US-IP-Adressen an legitime Websites wie Google weitergeleitet haben.

Zusätzlich zur Nutzung derselben Infrastruktur für Mekotio und Astaroth wird die mit Astaroth verbundene Infektionskette zur Verbreitung von Ousaban genutzt. Alle drei Trojaner sind speziell dafür konzipiert, Finanzinstitute anzugreifen. Sie überwachen die Webaktivitäten der Benutzer, protokollieren Tastatureingaben und erfassen Screenshots, wenn die Website der Zielbank geöffnet ist.

Ousaban hat in der Vergangenheit Cloud-Dienste ausgenutzt. Zuvor nutzte er Amazon S3 und Microsoft Azure zum Herunterladen von Nutzlasten der zweiten Stufe sowie Google Docs zum Abrufen von Command-and-Control-Konfigurationen (C2).

Diese Entwicklung geht mit Phishing-Kampagnen einher, die Malware-Familien wie DCRat, Remcos RAT und DarkVNC verbreiten, die in der Lage sind, sensible Daten zu sammeln und die Kontrolle über kompromittierte Hosts zu übernehmen. Darüber hinaus gibt es eine Zunahme von Bedrohungsakteuren, die QR-Codes bei Phishing- und E-Mail-basierten Angriffen (Quishing) einsetzen, um potenzielle Opfer dazu zu verleiten, Malware auf ihren Mobilgeräten zu installieren.