Cheval de Troie bancaire Ousaban utilisé dans des attaques de phishing

Les experts en sécurité mettent en garde contre une recrudescence des attaques de phishing par courrier électronique utilisant le service Google Cloud Run pour distribuer divers chevaux de Troie bancaires comme Astaroth (également connu sous le nom de Guildma), Mekotio et Ousaban (alias Javali) vers des cibles en Amérique latine (LATAM) et en Europe.

Des chercheurs de Cisco Talos ont révélé la semaine dernière que les chaînes d'infection liées à ces types de logiciels malveillants impliquent l'utilisation d'installateurs Microsoft (MSI) malveillants agissant comme des droppers ou des téléchargeurs pour les charges utiles finales des logiciels malveillants. Ces campagnes de distribution de logiciels malveillants à grand volume, observées depuis septembre 2023, ont systématiquement utilisé le même compartiment de stockage au sein de Google Cloud pour leur propagation, ce qui suggère des liens potentiels entre les acteurs malveillants qui orchestrent ces campagnes de distribution.

Google Cloud Run, une plate-forme de calcul gérée permettant aux utilisateurs d'exécuter divers services et charges de travail, est considérée par les adversaires comme un moyen rentable et efficace de déployer une infrastructure de distribution sur des plates-formes auxquelles les organisations n'empêchent probablement pas l'accès des systèmes internes, selon les chercheurs. .

La plupart des spams de phishing proviennent du Brésil

La majorité des systèmes responsables de l'envoi de messages de phishing proviennent du Brésil, suivi des États-Unis, de la Russie, du Mexique, de l'Argentine, de l'Équateur, de l'Afrique du Sud, de la France, de l'Espagne et du Bangladesh. Les e-mails de phishing tournent généralement autour de thèmes liés aux factures, aux questions financières ou aux documents fiscaux, se faisant parfois passer pour des communications émanant des agences fiscales des gouvernements locaux.

Ces e-mails contiennent des liens menant vers un site Web hébergé sur run[.]app, entraînant la livraison d'une archive ZIP contenant un fichier MSI malveillant soit directement, soit via des redirections 302 vers un emplacement Google Cloud Storage. Les auteurs de la menace ont également tenté d'échapper à la détection en redirigeant les visiteurs à l'aide d'astuces de géorepérage, envoyant ceux ayant une adresse IP américaine vers des sites légitimes comme Google.

En plus d'utiliser la même infrastructure pour Mekotio et Astaroth, la chaîne d'infection associée à Astaroth est utilisée pour distribuer Ousaban. Les trois chevaux de Troie sont spécifiquement conçus pour cibler les institutions financières, en surveillant l'activité Web des utilisateurs, en enregistrant les frappes au clavier et en capturant des captures d'écran si le site Web de la banque cible est ouvert.

Ousaban a l'habitude d'exploiter les services cloud, ayant déjà utilisé Amazon S3 et Microsoft Azure pour télécharger des charges utiles de deuxième étape, et Google Docs pour récupérer les configurations de commande et de contrôle (C2).

Ce développement s'accompagne de campagnes de phishing diffusant des familles de malwares telles que DCRat, Remcos RAT et DarkVNC, capables de récolter des données sensibles et de prendre le contrôle d'hôtes compromis. En outre, il y a eu une augmentation du nombre d'acteurs malveillants déployant des codes QR dans le cadre d'attaques de phishing et d'e-mails (quishing) pour inciter les victimes potentielles à installer des logiciels malveillants sur leurs appareils mobiles.