フィッシング攻撃に使用されるバンキング型トロイの木馬「Ousaban」
セキュリティ専門家は、Google Cloud Run サービスを利用して、Astaroth(別名 Guildma)、Mekotio、Ousaban(別名 Javali)などのさまざまなバンキング型トロイの木馬をラテンアメリカ(LATAM)とヨーロッパの標的に配布する電子メール フィッシング攻撃の急増について警告しています。
Cisco Talos の研究者らは先週、これらのマルウェア タイプに関連する感染チェーンには、最終的なマルウェア ペイロードのドロッパーまたはダウンローダーとして機能する悪意のある Microsoft インストーラー (MSI) の使用が関与していることを明らかにしました。 2023 年 9 月から観察されているこれらの大規模なマルウェア配布キャンペーンは、拡散のために Google Cloud 内の同じストレージ バケットを一貫して利用しており、これらの配布キャンペーンを調整している脅威アクター間の潜在的なつながりを示唆しています。
研究者らによると、ユーザーがさまざまなサービスやワークロードを実行できるようにするマネージド コンピューティング プラットフォームである Google Cloud Run は、組織が内部システムへのアクセスを制限しない可能性が高いプラットフォームに分散インフラストラクチャを展開するための費用対効果が高く効率的な手段として敵対者に見られているという。 。
ほとんどのフィッシングスパムはブラジルから来ています
フィッシング メッセージの送信を担当するシステムの大部分はブラジルから発信されており、次に米国、ロシア、メキシコ、アルゼンチン、エクアドル、南アフリカ、フランス、スペイン、バングラデシュが続きます。フィッシングメールは通常、請求書、財務問題、税務書類に関連したテーマを中心に展開しており、地方自治体の税務当局からの通信を装うこともあります。
これらのメールには、run[.]app でホストされている Web サイトへのリンクが含まれており、その結果、悪意のある MSI ファイルを含む ZIP アーカイブが直接、または 302 リダイレクトを介して Google Cloud Storage の場所に配信されます。攻撃者はまた、ジオフェンシング手法を使用して訪問者をリダイレクトし、米国の IP アドレスを持つ訪問者を Google などの正規のサイトに送信することで、検出を回避しようとしました。
Mekotio と Astaroth で同じインフラストラクチャを使用することに加えて、Astaroth に関連する感染チェーンが Ousaban の配布に利用されます。 3 つのトロイの木馬はすべて、金融機関をターゲットにするように特別に設計されており、ユーザーの Web アクティビティを監視し、キーストロークを記録し、ターゲットの銀行の Web サイトが開いている場合はスクリーンショットをキャプチャします。
Ousaban にはクラウド サービスを悪用した経歴があり、以前は第 2 段階のペイロードのダウンロードに Amazon S3 と Microsoft Azure を使用し、コマンド アンド コントロール (C2) 構成の取得に Google ドキュメントを使用していました。
この開発は、機密データを収集し、侵害されたホストを制御できる DCRat、Remcos RAT、DarkVNC などのマルウェア ファミリを拡散するフィッシング キャンペーンと並行して行われています。さらに、潜在的な被害者をだましてモバイル デバイスにマルウェアをインストールさせるために、フィッシングや電子メール ベースの攻撃 (キッシュ) で QR コードを展開する脅威アクターも増加しています。