Банковский троян Ousaban использовался в фишинговых атаках

Эксперты по безопасности предупреждают о росте количества фишинговых атак по электронной почте с использованием службы Google Cloud Run для распространения различных банковских троянов, таких как Astaroth (также известный как Guildma), Mekotio и Ousaban (также известный как Javali), среди целей в Латинской Америке (LATAM) и Европе.

Исследователи из Cisco Talos на прошлой неделе обнаружили, что цепочки заражения, связанные с этими типами вредоносного ПО, включают использование вредоносных установщиков Microsoft (MSI), действующих как перебрасыватели или загрузчики окончательных полезных нагрузок вредоносного ПО. Эти масштабные кампании по распространению вредоносного ПО, наблюдаемые с сентября 2023 года, для распространения постоянно использовали один и тот же сегмент хранилища в Google Cloud, что позволяет предположить потенциальные связи между субъектами угроз, организующими эти кампании по распространению.

По мнению исследователей, Google Cloud Run, управляемая вычислительная платформа, позволяющая пользователям запускать различные сервисы и рабочие нагрузки, рассматривается злоумышленниками как экономичное и эффективное средство развертывания инфраструктуры распределения на платформах, к которым организации, вероятно, не ограничивают доступ к внутренним системам. .

Больше всего фишингового спама приходит из Бразилии

Большинство систем, ответственных за отправку фишинговых сообщений, происходят из Бразилии, за которой следуют США, Россия, Мексика, Аргентина, Эквадор, Южная Африка, Франция, Испания и Бангладеш. Фишинговые электронные письма обычно посвящены темам, связанным со счетами, финансовыми вопросами или налоговыми документами, иногда маскируясь под сообщения местных государственных налоговых органов.

Эти электронные письма содержат ссылки, ведущие на веб-сайт, размещенный в приложении run[.]app, в результате чего ZIP-архив, содержащий вредоносный MSI-файл, доставляется либо напрямую, либо через перенаправление 302 в местоположение Google Cloud Storage. Злоумышленники также пытались избежать обнаружения, перенаправляя посетителей с помощью трюков с геозонами, отправляя тех, у кого есть IP-адреса в США, на законные сайты, такие как Google.

Помимо использования одной и той же инфраструктуры для Мекотио и Астарота, цепочка заражения, связанная с Астаротом, используется для распространения Усабана. Все три трояна специально разработаны для атак на финансовые учреждения, отслеживания активности пользователей в Интернете, регистрации нажатий клавиш и создания снимков экрана, если веб-сайт целевого банка открыт.

Усабан имеет опыт использования облачных сервисов: ранее он использовал Amazon S3 и Microsoft Azure для загрузки полезных данных второго этапа, а также Google Docs для получения конфигураций управления и контроля (C2).

Это развитие происходит параллельно с фишинговыми кампаниями, распространяющими такие семейства вредоносных программ, как DCRat, Remcos RAT и DarkVNC, способные собирать конфиденциальные данные и брать под контроль скомпрометированные хосты. Кроме того, увеличилось число злоумышленников, использующих QR-коды для фишинга и атак по электронной почте (квишинг), чтобы обманом заставить потенциальных жертв установить вредоносное ПО на свои мобильные устройства.