Trojan bankowy Ousaban używany w atakach phishingowych

Eksperci ds. bezpieczeństwa ostrzegają przed gwałtownym wzrostem liczby ataków typu phishing za pośrednictwem poczty elektronicznej wykorzystujących usługę Google Cloud Run do dystrybucji różnych trojanów bankowych, takich jak Astaroth (znany również jako Guildma), Mekotio i Ousaban (znany również jako Javali), do celów w Ameryce Łacińskiej (LATAM) i Europie.

Badacze z Cisco Talos ujawnili w zeszłym tygodniu, że łańcuchy infekcji powiązane z tymi typami złośliwego oprogramowania obejmują wykorzystanie złośliwych instalatorów Microsoft (MSI) działających jako narzędzia dropperujące lub pobierające ostateczne ładunki szkodliwego oprogramowania. Te masowe kampanie dystrybucyjne złośliwego oprogramowania, obserwowane od września 2023 r., konsekwentnie wykorzystują do rozprzestrzeniania się ten sam zasobnik w Google Cloud, co sugeruje potencjalne powiązania między podmiotami zagrażającymi organizującymi te kampanie dystrybucyjne.

Zdaniem badaczy Google Cloud Run, zarządzana platforma obliczeniowa umożliwiająca użytkownikom uruchamianie różnych usług i zadań, jest postrzegana przez przeciwników jako opłacalny i wydajny sposób wdrożenia infrastruktury dystrybucyjnej na platformach, do których organizacje prawdopodobnie nie ograniczają dostępu do systemów wewnętrznych. .

Większość spamu phishingowego pochodzi z Brazylii

Większość systemów odpowiedzialnych za wysyłanie wiadomości phishingowych pochodzi z Brazylii, a następnie z USA, Rosji, Meksyku, Argentyny, Ekwadoru, Republiki Południowej Afryki, Francji, Hiszpanii i Bangladeszu. Wiadomości e-mail phishingowe zazwyczaj dotyczą tematów związanych z fakturami, kwestiami finansowymi lub dokumentami podatkowymi i czasami udają wiadomości od lokalnych organów podatkowych.

Te e-maile zawierają linki prowadzące do strony internetowej hostowanej w run[.]app, co skutkuje dostarczeniem archiwum ZIP zawierającego złośliwy plik MSI bezpośrednio lub poprzez przekierowania 302 do lokalizacji Google Cloud Storage. Podmioty zagrażające próbowały również uniknąć wykrycia, przekierowując gości za pomocą sztuczek geofencingu i wysyłając osoby z amerykańskimi adresami IP do legalnych witryn, takich jak Google.

Oprócz korzystania z tej samej infrastruktury w przypadku Mekotio i Astaroth, łańcuch infekcji powiązany z Astaroth jest wykorzystywany do dystrybucji Ousabanu. Wszystkie trzy trojany są specjalnie zaprojektowane do atakowania instytucji finansowych, monitorowania aktywności użytkowników w Internecie, rejestrowania naciśnięć klawiszy i przechwytywania zrzutów ekranu, jeśli witryna banku docelowego jest otwarta.

Ousaban ma historię wykorzystywania usług w chmurze, wcześniej korzystał z Amazon S3 i Microsoft Azure do pobierania ładunków drugiego etapu oraz Dokumentów Google do pobierania konfiguracji dowodzenia i kontroli (C2).

Rozwój ten następuje wraz z kampaniami phishingowymi rozprzestrzeniającymi rodziny szkodliwego oprogramowania, takie jak DCRat, Remcos RAT i DarkVNC, które mogą zbierać poufne dane i przejmować kontrolę nad zaatakowanymi hostami. Ponadto wzrosła liczba podmiotów zagrażających, które wykorzystują kody QR w atakach typu phishing i e-mail (quishing), aby nakłonić potencjalne ofiary do zainstalowania złośliwego oprogramowania na swoich urządzeniach mobilnych.