Ousaban Banking Trojan brukt i phishing-angrep

Sikkerhetseksperter advarer mot en økning i phishing-angrep på e-post som bruker Google Cloud Run-tjenesten til å distribuere ulike banktrojanere som Astaroth (også kjent som Guildma), Mekotio og Ousaban (aka Javali) til mål i Latin-Amerika (LATAM) og Europa.

Forskere fra Cisco Talos avslørte forrige uke at infeksjonskjedene knyttet til disse skadevaretypene involverer bruk av ondsinnede Microsoft Installers (MSI-er) som fungerer som droppere eller nedlastere for de endelige skadelige nyttelastene. Disse høyvolumskampanjene for distribusjon av skadelig programvare, observert siden september 2023, har konsekvent brukt den samme lagringsbøtten i Google Cloud for spredning, noe som antyder potensielle forbindelser mellom trusselaktørene som orkestrerer disse distribusjonskampanjene.

Google Cloud Run, en administrert dataplattform som lar brukere kjøre ulike tjenester og arbeidsbelastninger, blir sett på av motstandere som et kostnadseffektivt og effektivt middel for å distribuere distribusjonsinfrastruktur på plattformer som organisasjoner sannsynligvis ikke begrenser interne systemer fra å få tilgang til, ifølge forskerne .

Mest phishing-spam kommer fra Brasil

Flertallet av systemene som er ansvarlige for å sende phishing-meldinger kommer fra Brasil, etterfulgt av USA, Russland, Mexico, Argentina, Ecuador, Sør-Afrika, Frankrike, Spania og Bangladesh. Phishing-e-postene dreier seg vanligvis om temaer knyttet til fakturaer, økonomiske forhold eller skattedokumenter, noen ganger forklædt som kommunikasjon fra lokale skatteetater.

Disse e-postene inneholder koblinger som fører til et nettsted som drives av en[.]app, noe som resulterer i levering av et ZIP-arkiv som inneholder en ondsinnet MSI-fil, enten direkte eller gjennom 302-omdirigeringer til en Google Cloud Storage-plassering. Trusselaktørene har også forsøkt å unngå oppdagelse ved å omdirigere besøkende ved å bruke geofencing-triks, og sende de med amerikanske IP-adresser til legitime nettsteder som Google.

I tillegg til å bruke samme infrastruktur for Mekotio og Astaroth, brukes infeksjonskjeden knyttet til Astaroth til å distribuere Ousaban. Alle tre trojanerne er spesielt utviklet for å målrette mot finansinstitusjoner, overvåke brukernes nettaktivitet, logge tastetrykk og ta skjermbilder hvis målbankens nettside er åpen.

Ousaban har en historie med å utnytte skytjenester, etter å ha brukt Amazon S3 og Microsoft Azure for å laste ned andre trinns nyttelast, og Google Docs for å hente kommando-og-kontroll (C2) konfigurasjoner.

Denne utviklingen skjer sammen med phishing-kampanjer som sprer skadevarefamilier som DCRat, Remcos RAT og DarkVNC, som er i stand til å samle inn sensitive data og ta kontroll over kompromitterte verter. I tillegg har det vært en økning i trusselaktører som distribuerer QR-koder i phishing og e-postbaserte angrep (quishing) for å lure potensielle ofre til å installere skadevare på sine mobile enheter.