Ousaban bankininkystės Trojos arklys, naudojamas sukčiavimo atakose

Saugumo ekspertai perspėja dėl sukčiavimo el. paštu atakų, naudojant „Google Cloud Run“ paslaugą, platinant įvairius bankinius Trojos arklius, tokius kaip „Astaroth“ (taip pat žinomas kaip „Guildma“), „Mekotio“ ir „Ousaban“ (dar žinomas kaip „Javali“), Lotynų Amerikoje (LATAM) ir Europoje.

„Cisco Talos“ tyrėjai praėjusią savaitę atskleidė, kad su šių tipų kenkėjiškomis programomis susietos užkrėtimo grandinės apima kenkėjiškų „Microsoft Installers“ (MSI), veikiančių kaip galutinių kenkėjiškų programų naudingųjų programų lašintuvai arba parsisiuntimo programos, naudojimą. Šios didelės apimties kenkėjiškų programų platinimo kampanijos, stebimos nuo 2023 m. rugsėjo mėn., nuosekliai naudojo tą patį „Google Cloud“ saugyklos elementą platinimui, o tai rodo galimus ryšius tarp grėsmės veikėjų, organizuojančių šias platinimo kampanijas.

Pasak tyrėjų, „Google Cloud Run“, valdoma skaičiavimo platforma, leidžianti vartotojams paleisti įvairias paslaugas ir darbo krūvius, priešininkų vertinama kaip ekonomiška ir efektyvi priemonė platinimo infrastruktūrai diegti platformose, prie kurių organizacijos greičiausiai neriboja prieigos prie vidinių sistemų. .

Dauguma sukčiavimo šlamšto atkeliauja iš Brazilijos

Dauguma sistemų, atsakingų už sukčiavimo pranešimų siuntimą, yra kilę iš Brazilijos, o po to seka JAV, Rusija, Meksika, Argentina, Ekvadoras, Pietų Afrika, Prancūzija, Ispanija ir Bangladešas. Sukčiavimo el. laiškai paprastai sukasi apie temas, susijusias su sąskaitomis faktūromis, finansiniais reikalais ar mokesčių dokumentais, kartais prisidengiant vietinės valdžios mokesčių agentūrų pranešimais.

Šiuose el. laiškuose yra nuorodų, nukreipiančių į svetainę, priglobtą „run[.]app“, todėl tiesiogiai arba per 302 peradresavimus į „Google Cloud Storage“ vietą pristatomas ZIP archyvas, kuriame yra kenkėjiškas MSI failas. Grėsmės veikėjai taip pat bandė išvengti aptikimo, nukreipdami lankytojus naudodami geotvoros gudrybes, siųsdami tuos, kurie turi JAV IP adresus, į teisėtas svetaines, tokias kaip „Google“.

Be to, kad Mekotio ir Astaroth naudojama ta pati infrastruktūra, Ousaban platinimui naudojama su Astaroth susijusi infekcijos grandinė. Visi trys trojos arklys yra specialiai sukurti finansų institucijoms, stebint vartotojų veiklą internete, registruojant klavišų paspaudimus ir fiksuojant ekrano kopijas, jei tikslinio banko svetainė yra atidaryta.

„Ousaban“ naudoja debesijos paslaugas – anksčiau naudojo „Amazon S3“ ir „Microsoft Azure“ antrojo etapo naudingosioms apkrovoms atsisiųsti, o „Google“ dokumentus – komandų ir valdymo (C2) konfigūracijoms gauti.

Ši plėtra vyksta kartu su sukčiavimo kampanijomis, platinančiomis kenkėjiškų programų šeimas, tokias kaip DCRat, Remcos RAT ir DarkVNC, galinčias rinkti neskelbtinus duomenis ir kontroliuoti pažeistus pagrindinius kompiuterius. Be to, padaugėjo grėsmių subjektų, diegiančių QR kodus sukčiavimo ir el. pašto atakoms (angl. quishing), siekdami apgauti potencialias aukas, kad jos įdiegtų kenkėjiškas programas savo mobiliuosiuose įrenginiuose.