Ousaban Banking Trojan που χρησιμοποιείται σε επιθέσεις phishing

Οι ειδικοί ασφαλείας προειδοποιούν για την αύξηση των επιθέσεων ηλεκτρονικού ψαρέματος που χρησιμοποιούν την υπηρεσία Google Cloud Run για τη διανομή διαφόρων τραπεζικών trojans όπως Astaroth (γνωστά και ως Guildma), Mekotio και Ousaban (γνωστά και ως Javali) σε στόχους στη Λατινική Αμερική (LATAM) και την Ευρώπη.

Ερευνητές από τη Cisco Talos αποκάλυψαν την περασμένη εβδομάδα ότι οι αλυσίδες μόλυνσης που συνδέονται με αυτούς τους τύπους κακόβουλου λογισμικού περιλαμβάνουν τη χρήση κακόβουλων προγραμμάτων εγκατάστασης της Microsoft (MSI) που λειτουργούν ως droppers ή downloaders για τα τελικά ωφέλιμα φορτία κακόβουλου λογισμικού. Αυτές οι καμπάνιες διανομής κακόβουλου λογισμικού μεγάλου όγκου, που παρατηρούνται από τον Σεπτέμβριο του 2023, χρησιμοποιούν με συνέπεια τον ίδιο κάδο αποθήκευσης στο Google Cloud για διάδοση, υποδηλώνοντας πιθανές συνδέσεις μεταξύ των παραγόντων απειλών που ενορχηστρώνουν αυτές τις καμπάνιες διανομής.

Το Google Cloud Run, μια διαχειριζόμενη πλατφόρμα υπολογιστών που επιτρέπει στους χρήστες να εκτελούν διάφορες υπηρεσίες και φόρτους εργασίας, θεωρείται από τους αντιπάλους ως ένα οικονομικά αποδοτικό και αποδοτικό μέσο για την ανάπτυξη υποδομής διανομής σε πλατφόρμες στις οποίες οι οργανισμοί πιθανότατα δεν περιορίζουν την πρόσβαση στα εσωτερικά συστήματα, σύμφωνα με τους ερευνητές. .

Τα περισσότερα ανεπιθύμητα μηνύματα ηλεκτρονικού ψαρέματος προέρχονται από τη Βραζιλία

Η πλειονότητα των συστημάτων που είναι υπεύθυνα για την αποστολή μηνυμάτων ηλεκτρονικού ψαρέματος προέρχονται από τη Βραζιλία και ακολουθούν οι ΗΠΑ, η Ρωσία, το Μεξικό, η Αργεντινή, ο Ισημερινός, η Νότια Αφρική, η Γαλλία, η Ισπανία και το Μπαγκλαντές. Τα μηνύματα ηλεκτρονικού ψαρέματος συνήθως περιστρέφονται γύρω από θέματα που σχετίζονται με τιμολόγια, οικονομικά θέματα ή φορολογικά έγγραφα, μερικές φορές μεταμφιεσμένα σε επικοινωνίες από φορολογικές υπηρεσίες τοπικής αυτοδιοίκησης.

Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν συνδέσμους που οδηγούν σε έναν ιστότοπο που φιλοξενείται σε εφαρμογή εκτέλεσης[.], με αποτέλεσμα την παράδοση ενός αρχείου ZIP που περιέχει ένα κακόβουλο αρχείο MSI είτε απευθείας είτε μέσω 302 ανακατευθύνσεων σε μια τοποθεσία Google Cloud Storage. Οι παράγοντες της απειλής προσπάθησαν επίσης να αποφύγουν τον εντοπισμό ανακατευθύνοντας τους επισκέπτες χρησιμοποιώντας τεχνάσματα γεωγραφικής επίθεσης, στέλνοντας αυτούς με διευθύνσεις IP των ΗΠΑ σε νόμιμους ιστότοπους όπως η Google.

Εκτός από τη χρήση της ίδιας υποδομής για το Mekotio και το Astaroth, η αλυσίδα μόλυνσης που σχετίζεται με το Astaroth χρησιμοποιείται για τη διανομή του Ousaban. Και οι τρεις trojans έχουν σχεδιαστεί ειδικά για να στοχεύουν χρηματοπιστωτικά ιδρύματα, να παρακολουθούν τη δραστηριότητα ιστού των χρηστών, να καταγράφουν πατήματα πλήκτρων και να καταγράφουν στιγμιότυπα οθόνης εάν ο ιστότοπος της τράπεζας-στόχου είναι ανοιχτός.

Η Ousaban έχει ιστορικό εκμετάλλευσης υπηρεσιών cloud, έχοντας προηγουμένως χρησιμοποιήσει το Amazon S3 και το Microsoft Azure για τη λήψη ωφέλιμων φορτίων δεύτερου σταδίου και τα Έγγραφα Google για την ανάκτηση διαμορφώσεων εντολών και ελέγχου (C2).

Αυτή η εξέλιξη λαμβάνει χώρα παράλληλα με εκστρατείες ηλεκτρονικού ψαρέματος που διαδίδουν οικογένειες κακόβουλου λογισμικού όπως το DCRat, το Remcos RAT και το DarkVNC, ικανές να συλλέγουν ευαίσθητα δεδομένα και να αναλαμβάνουν τον έλεγχο των παραβιασμένων κεντρικών υπολογιστών. Επιπλέον, έχει σημειωθεί αύξηση στους παράγοντες απειλών που αναπτύσσουν κωδικούς QR σε επιθέσεις phishing και email (quishing) για να εξαπατήσουν τα πιθανά θύματα να εγκαταστήσουν κακόβουλο λογισμικό στις κινητές συσκευές τους.