Trojan bancário Ousaban usado em ataques de phishing

Especialistas em segurança estão alertando sobre um aumento nos ataques de phishing por e-mail utilizando o serviço Google Cloud Run para distribuir vários trojans bancários como Astaroth (também conhecido como Guildma), Mekotio e Ousaban (também conhecido como Javali) para alvos na América Latina (LATAM) e na Europa.

Pesquisadores da Cisco Talos revelaram na semana passada que as cadeias de infecção vinculadas a esses tipos de malware envolvem o uso de Microsoft Installers (MSIs) maliciosos que atuam como droppers ou downloaders para as cargas finais de malware. Essas campanhas de distribuição de malware de alto volume, observadas desde setembro de 2023, têm utilizado consistentemente o mesmo intervalo de armazenamento no Google Cloud para propagação, sugerindo possíveis conexões entre os atores da ameaça que orquestram essas campanhas de distribuição.

O Google Cloud Run, uma plataforma de computação gerenciada que permite aos usuários executar vários serviços e cargas de trabalho, é visto pelos adversários como um meio econômico e eficiente de implantar infraestrutura de distribuição em plataformas às quais as organizações provavelmente não restringem o acesso dos sistemas internos, de acordo com os pesquisadores. .

A maior parte do spam de phishing vem do Brasil

A maioria dos sistemas responsáveis pelo envio de mensagens de phishing são originários do Brasil, seguido pelos EUA, Rússia, México, Argentina, Equador, África do Sul, França, Espanha e Bangladesh. Os e-mails de phishing normalmente giram em torno de temas relacionados a faturas, questões financeiras ou documentos fiscais, às vezes disfarçados de comunicações de agências fiscais do governo local.

Esses e-mails contêm links que levam a um site hospedado no aplicativo run[.], resultando na entrega de um arquivo ZIP contendo um arquivo MSI malicioso diretamente ou por meio de redirecionamentos 302 para um local do Google Cloud Storage. Os agentes da ameaça também tentaram evitar a detecção redirecionando visitantes usando truques de geofencing, enviando aqueles com endereços IP dos EUA para sites legítimos como o Google.

Além de utilizar a mesma infraestrutura para Mekotio e Astaroth, a cadeia de infecção associada a Astaroth é utilizada para distribuir Ousaban. Todos os três trojans são projetados especificamente para atingir instituições financeiras, monitorando a atividade dos usuários na web, registrando as teclas digitadas e capturando capturas de tela se o site do banco alvo estiver aberto.

Ousaban tem um histórico de exploração de serviços em nuvem, tendo usado anteriormente o Amazon S3 e o Microsoft Azure para baixar cargas de segundo estágio e o Google Docs para recuperar configurações de comando e controle (C2).

Esse desenvolvimento ocorre juntamente com campanhas de phishing que espalham famílias de malware como DCRat, Remcos RAT e DarkVNC, capazes de coletar dados confidenciais e assumir o controle de hosts comprometidos. Além disso, tem havido um aumento no número de agentes de ameaças que implantam códigos QR em ataques de phishing e baseados em e-mail (quishing) para enganar possíveis vítimas e fazê-las instalar malware em seus dispositivos móveis.