Ousaban Banking Trojan används i nätfiskeattacker

Säkerhetsexperter varnar för en ökning av nätfiskeattacker med e-post som använder tjänsten Google Cloud Run för att distribuera olika banktrojaner som Astaroth (även känd som Guildma), Mekotio och Ousaban (aka Javali) till mål i Latinamerika (LATAM) och Europa.

Forskare från Cisco Talos avslöjade förra veckan att infektionskedjorna som är kopplade till dessa typer av skadlig programvara involverar användningen av skadliga Microsoft Installers (MSI) som fungerar som droppare eller nedladdare för de sista skadliga nyttolasterna. Dessa stora distributionskampanjer för skadlig programvara, som observerats sedan september 2023, har konsekvent använt samma lagringshink inom Google Cloud för spridning, vilket tyder på potentiella kopplingar mellan hotaktörerna som orkestrerar dessa distributionskampanjer.

Google Cloud Run, en hanterad datorplattform som tillåter användare att köra olika tjänster och arbetsbelastningar, ses av motståndare som ett kostnadseffektivt och effektivt sätt att distribuera distributionsinfrastruktur på plattformar som organisationer sannolikt inte hindrar interna system från att komma åt, enligt forskarna .

Mest nätfiskeskräp kommer från Brasilien

Majoriteten av system som ansvarar för att skicka nätfiskemeddelanden kommer från Brasilien, följt av USA, Ryssland, Mexiko, Argentina, Ecuador, Sydafrika, Frankrike, Spanien och Bangladesh. Nätfiske-e-postmeddelanden kretsar vanligtvis kring teman relaterade till fakturor, ekonomiska frågor eller skattedokument, ibland maskerade som kommunikation från lokala skattemyndigheter.

Dessa e-postmeddelanden innehåller länkar som leder till en webbplats som är värd på kör[.]app, vilket resulterar i leverans av ett ZIP-arkiv som innehåller en skadlig MSI-fil, antingen direkt eller genom 302-omdirigeringar till en plats i Google Cloud Storage. Hotaktörerna har också försökt undvika upptäckt genom att omdirigera besökare med hjälp av geofencing-trick, skicka de med amerikanska IP-adresser till legitima webbplatser som Google.

Förutom att använda samma infrastruktur för Mekotio och Astaroth, används infektionskedjan förknippad med Astaroth för att distribuera Ousaban. Alla tre trojaner är specifikt utformade för att rikta in sig på finansiella institutioner, övervaka användarnas webbaktivitet, logga tangenttryckningar och ta skärmdumpar om målbankens webbplats är öppen.

Ousaban har en historia av att utnyttja molntjänster, har tidigare använt Amazon S3 och Microsoft Azure för att ladda ner andra stegs nyttolaster, och Google Docs för att hämta kommando-och-kontroll (C2)-konfigurationer.

Den här utvecklingen sker tillsammans med nätfiskekampanjer som sprider skadliga programfamiljer som DCRat, Remcos RAT och DarkVNC, som kan samla in känslig data och ta kontroll över värdar som utsatts för intrång. Dessutom har det skett en ökning av hotaktörer som använder QR-koder i nätfiske och e-postbaserade attacker (quishing) för att lura potentiella offer att installera skadlig programvara på sina mobila enheter.