Adathalász támadásokban használt Ousaban banki trójai

Biztonsági szakértők figyelmeztetnek az e-mailes adathalász támadások számának növekedésére, amelyek a Google Cloud Run szolgáltatást használva különféle banki trójaiakat, például az Astaroth-t (más néven Guildma), a Mekotio-t és az Ousaban-t (más néven Javali) terjesztik latin-amerikai (LATAM) és európai célokra.

A Cisco Talos kutatói a múlt héten felfedték, hogy az ezekkel a rosszindulatú programtípusokkal összekapcsolt fertőzési láncok rosszindulatú Microsoft Installer-ek (MSI) használatát foglalják magukban, amelyek a rosszindulatú programok végső rakományának elejtői vagy letöltőiként működnek. Ezek a 2023 szeptembere óta megfigyelt nagy mennyiségű rosszindulatú programterjesztési kampányok következetesen ugyanazt a tárhelyet használták a Google Cloudon belül a terjesztéshez, ami potenciális kapcsolatokra utal a terjesztési kampányokat irányító fenyegetés szereplői között.

A kutatók szerint a Google Cloud Run, egy felügyelt számítási platform, amely lehetővé teszi a felhasználók számára különféle szolgáltatások és munkaterhelések futtatását, az ellenfelek költséghatékony és hatékony eszközének tekintik az elosztási infrastruktúra olyan platformokon történő telepítését, amelyekhez a szervezetek valószínűleg nem korlátozzák a belső rendszerek elérését. .

A legtöbb adathalász spam Brazíliából érkezik

Az adathalász üzenetek küldéséért felelős rendszerek többsége Brazíliából származik, ezt követi az Egyesült Államok, Oroszország, Mexikó, Argentína, Ecuador, Dél-Afrika, Franciaország, Spanyolország és Banglades. Az adathalász e-mailek jellemzően számlákkal, pénzügyi ügyekkel vagy adódokumentumokkal kapcsolatos témák körül forognak, néha helyi önkormányzati adóhivatalok közleményeinek álcázva.

Ezek az e-mailek linkeket tartalmaznak, amelyek egy futtatott[.]alkalmazáson tárolt webhelyre vezetnek, ami egy rosszindulatú MSI-fájlt tartalmazó ZIP-archívum kézbesítését eredményezi, akár közvetlenül, akár 302-es átirányítással a Google Cloud Storage helyére. A fenyegetés szereplői megpróbálták kikerülni az észlelést azáltal, hogy geokerítési trükkökkel átirányították a látogatókat, és az egyesült államokbeli IP-címmel rendelkezőket olyan legitim webhelyekre küldték, mint a Google.

Amellett, hogy ugyanazt az infrastruktúrát használják a Mekotio és az Astaroth számára, az Astarothhoz kapcsolódó fertőzési láncot használják az Ousaban terjesztésére. Mindhárom trójai kifejezetten a pénzintézetek megcélzására, a felhasználók internetes tevékenységének figyelésére, a billentyűleütések naplózására és képernyőképek rögzítésére szolgál, ha a célbank webhelye nyitva van.

Az Ousaban már korábban is használta a felhőszolgáltatásokat, hiszen korábban az Amazon S3-at és a Microsoft Azure-t használta a második szakasz hasznos terheléseinek letöltésére, a Google Dokumentumokat pedig a parancs- és vezérlési (C2) konfigurációk lekérésére.

Ez a fejlesztés az olyan rosszindulatú programcsaládokat terjesztő adathalász kampányokkal párhuzamosan történik, mint a DCRat, Remcos RAT és DarkVNC, amelyek képesek érzékeny adatok begyűjtésére és átveszik az irányítást a feltört gazdagépek felett. Ezen túlmenően, megnőtt azoknak a fenyegetéseknek a száma, akik QR-kódokat telepítenek adathalászat és e-mail-alapú támadások (quishing) során, hogy megtévesszék a potenciális áldozatokat, hogy rosszindulatú programokat telepítsenek mobileszközeikre.