Ousaban Banking Trojan gebruikt bij phishing-aanvallen

Beveiligingsexperts waarschuwen voor een toename van het aantal phishing-aanvallen per e-mail waarbij gebruik wordt gemaakt van de Google Cloud Run-service om verschillende banktrojans zoals Astaroth (ook bekend als Guildma), Mekotio en Ousaban (ook bekend als Javali) te verspreiden naar doelwitten in Latijns-Amerika (LATAM) en Europa.

Onderzoekers van Cisco Talos onthulden vorige week dat de infectieketens die verband houden met deze malwaretypen het gebruik omvatten van kwaadaardige Microsoft Installers (MSI's) die fungeren als droppers of downloaders voor de uiteindelijke malware-payloads. Deze grootschalige malwaredistributiecampagnes, waargenomen sinds september 2023, hebben consistent dezelfde opslagbucket binnen Google Cloud gebruikt voor verspreiding, wat wijst op mogelijke verbindingen tussen de bedreigingsactoren die deze distributiecampagnes orkestreren.

Google Cloud Run, een beheerd computerplatform waarmee gebruikers verschillende services en workloads kunnen uitvoeren, wordt door tegenstanders gezien als een kosteneffectieve en efficiënte manier om distributie-infrastructuur in te zetten op platforms waartoe organisaties de toegang van interne systemen waarschijnlijk niet beperken, aldus de onderzoekers .

De meeste phishing-spam komt uit Brazilië

De meeste systemen die verantwoordelijk zijn voor het verzenden van phishing-berichten zijn afkomstig uit Brazilië, gevolgd door de VS, Rusland, Mexico, Argentinië, Ecuador, Zuid-Afrika, Frankrijk, Spanje en Bangladesh. De phishing-e-mails draaien meestal rond thema's die verband houden met facturen, financiële zaken of belastingdocumenten, en doen zich soms voor als mededelingen van lokale belastingdiensten.

Deze e-mails bevatten links die leiden naar een website die wordt gehost op run[.]app, wat resulteert in de levering van een ZIP-archief met daarin een kwaadaardig MSI-bestand, rechtstreeks of via 302-omleidingen naar een Google Cloud Storage-locatie. De bedreigingsactoren hebben ook geprobeerd detectie te omzeilen door bezoekers om te leiden met behulp van geofencing-trucs en bezoekers met Amerikaanse IP-adressen naar legitieme sites zoals Google te sturen.

Naast het gebruik van dezelfde infrastructuur voor Mekotio en Astaroth, wordt de infectieketen geassocieerd met Astaroth gebruikt om Ousaban te distribueren. Alle drie de trojans zijn specifiek ontworpen om financiële instellingen aan te vallen, de webactiviteit van gebruikers te monitoren, toetsaanslagen te registreren en schermafbeeldingen te maken als de website van de doelbank open is.

Ousaban heeft een geschiedenis in het exploiteren van clouddiensten, waarbij hij eerder Amazon S3 en Microsoft Azure gebruikte voor het downloaden van payloads in de tweede fase, en Google Docs voor het ophalen van command-and-control (C2)-configuraties.

Deze ontwikkeling vindt plaats naast phishing-campagnes die malwarefamilies zoals DCRat, Remcos RAT en DarkVNC verspreiden, die in staat zijn gevoelige gegevens te verzamelen en de controle over gecompromitteerde hosts over te nemen. Bovendien is er sprake van een toename van het aantal bedreigingsactoren die QR-codes inzetten bij phishing- en e-mailgebaseerde aanvallen (quishing) om potentiële slachtoffers te misleiden om malware op hun mobiele apparaten te installeren.