Troyano bancario Ousaban utilizado en ataques de phishing

Los expertos en seguridad advierten sobre un aumento en los ataques de phishing por correo electrónico que utilizan el servicio Google Cloud Run para distribuir varios troyanos bancarios como Astaroth (también conocido como Guildma), Mekotio y Ousaban (también conocido como Javali) a objetivos en América Latina (LATAM) y Europa.

Los investigadores de Cisco Talos revelaron la semana pasada que las cadenas de infección vinculadas con estos tipos de malware implican el uso de instaladores de Microsoft (MSI) maliciosos que actúan como descargadores o descargadores de las cargas útiles de malware finales. Estas campañas de distribución de malware de gran volumen, observadas desde septiembre de 2023, han utilizado constantemente el mismo depósito de almacenamiento dentro de Google Cloud para la propagación, lo que sugiere posibles conexiones entre los actores de amenazas que orquestan estas campañas de distribución.

Según los investigadores, Google Cloud Run, una plataforma informática administrada que permite a los usuarios ejecutar diversos servicios y cargas de trabajo, es vista por los adversarios como un medio rentable y eficiente para implementar infraestructura de distribución en plataformas a las que las organizaciones probablemente no restringen el acceso de los sistemas internos. .

La mayor parte del spam de phishing proviene de Brasil

La mayoría de los sistemas responsables del envío de mensajes de phishing se originan en Brasil, seguido de Estados Unidos, Rusia, México, Argentina, Ecuador, Sudáfrica, Francia, España y Bangladesh. Los correos electrónicos de phishing generalmente giran en torno a temas relacionados con facturas, asuntos financieros o documentos fiscales, y a veces se hacen pasar por comunicaciones de agencias tributarias del gobierno local.

Estos correos electrónicos contienen enlaces que conducen a un sitio web alojado en la aplicación run[.], lo que da como resultado la entrega de un archivo ZIP que contiene un archivo MSI malicioso, ya sea directamente o mediante redireccionamientos 302 a una ubicación de Google Cloud Storage. Los actores de amenazas también han intentado evadir la detección redirigiendo a los visitantes mediante trucos de geofencing, enviando a aquellos con direcciones IP de EE. UU. a sitios legítimos como Google.

Además de utilizar la misma infraestructura para Mekotio y Astaroth, la cadena de infección asociada con Astaroth se utiliza para distribuir Ousaban. Los tres troyanos están diseñados específicamente para atacar a instituciones financieras, monitorear la actividad web de los usuarios, registrar las pulsaciones de teclas y capturar capturas de pantalla si el sitio web del banco objetivo está abierto.

Ousaban tiene un historial de explotación de servicios en la nube, habiendo utilizado anteriormente Amazon S3 y Microsoft Azure para descargar cargas útiles de segunda etapa, y Google Docs para recuperar configuraciones de comando y control (C2).

Este desarrollo se produce junto con campañas de phishing que difunden familias de malware como DCRat, Remcos RAT y DarkVNC, capaces de recopilar datos confidenciales y tomar el control de hosts comprometidos. Además, ha habido un aumento en los actores de amenazas que implementan códigos QR en ataques de phishing y basados en correo electrónico (quishing) para engañar a víctimas potenciales para que instalen malware en sus dispositivos móviles.