Trojan bancario Ousaban utilizzato negli attacchi di phishing
Gli esperti di sicurezza mettono in guardia da un aumento degli attacchi di phishing via email che utilizzano il servizio Google Cloud Run per distribuire vari trojan bancari come Astaroth (noto anche come Guildma), Mekotio e Ousaban (noto anche come Javali) verso obiettivi in America Latina (LATAM) ed Europa.
I ricercatori di Cisco Talos hanno rivelato la scorsa settimana che le catene di infezione legate a questi tipi di malware implicano l’uso di Microsoft Installer (MSI) dannosi che agiscono come dropper o downloader per i payload finali del malware. Queste campagne di distribuzione di malware ad alto volume, osservate da settembre 2023, hanno utilizzato costantemente lo stesso bucket di archiviazione all’interno di Google Cloud per la propagazione, suggerendo potenziali connessioni tra gli autori delle minacce che orchestrano queste campagne di distribuzione.
Secondo i ricercatori, Google Cloud Run, una piattaforma di elaborazione gestita che consente agli utenti di eseguire vari servizi e carichi di lavoro, è vista dagli avversari come un mezzo efficiente ed economicamente vantaggioso per implementare l'infrastruttura di distribuzione su piattaforme a cui le organizzazioni probabilmente non impediscono l'accesso ai sistemi interni. .
La maggior parte dello spam di phishing proviene dal Brasile
La maggior parte dei sistemi responsabili dell’invio di messaggi di phishing provengono dal Brasile, seguito da Stati Uniti, Russia, Messico, Argentina, Ecuador, Sudafrica, Francia, Spagna e Bangladesh. Le e-mail di phishing in genere ruotano attorno a temi relativi a fatture, questioni finanziarie o documenti fiscali, a volte mascherate da comunicazioni delle agenzie fiscali del governo locale.
Queste email contengono collegamenti che conducono a un sito Web ospitato su run[.]app, che comporta la consegna di un archivio ZIP contenente un file MSI dannoso direttamente o tramite reindirizzamenti 302 a una posizione di Google Cloud Storage. Gli autori delle minacce hanno anche tentato di eludere il rilevamento reindirizzando i visitatori utilizzando trucchi di geofencing, inviando quelli con indirizzi IP statunitensi a siti legittimi come Google.
Oltre a utilizzare la stessa infrastruttura per Mekotio e Astaroth, la catena di infezione associata ad Astaroth viene utilizzata per distribuire Ousaban. Tutti e tre i trojan sono progettati specificamente per prendere di mira gli istituti finanziari, monitorare l'attività web degli utenti, registrare i tasti premuti e acquisire schermate se il sito web della banca presa di mira è aperto.
Ousaban ha una storia di sfruttamento dei servizi cloud, avendo precedentemente utilizzato Amazon S3 e Microsoft Azure per scaricare payload di seconda fase e Google Docs per recuperare configurazioni di comando e controllo (C2).
Questo sviluppo avviene parallelamente alle campagne di phishing che diffondono famiglie di malware come DCRat, Remcos RAT e DarkVNC, in grado di raccogliere dati sensibili e assumere il controllo di host compromessi. Inoltre, si è registrato un aumento degli autori delle minacce che utilizzano codici QR negli attacchi di phishing e via e-mail (quishing) per indurre le potenziali vittime a installare malware sui propri dispositivi mobili.
