用于网络钓鱼攻击的 Ousaban 银行木马

安全专家警告称，电子邮件网络钓鱼攻击激增，利用 Google Cloud Run 服务向拉丁美洲 (LATAM) 和欧洲的目标分发 Astaroth（也称为 Guildma）、Mekotio 和 Ousaban（又名 Javali）等各种银行木马。

思科 Talos 的研究人员上周透露，与这些恶意软件类型相关的感染链涉及使用恶意 Microsoft 安装程序 (MSI) 作为最终恶意软件负载的植入程序或下载程序。自 2023 年 9 月以来观察到的这些大量恶意软件分发活动一直使用 Google Cloud 中的同一存储桶进行传播，这表明策划这些分发活动的威胁行为者之间存在潜在联系。

研究人员表示，Google Cloud Run 是一个托管计算平台，允许用户运行各种服务和工作负载，被对手视为一种经济有效且高效的手段，可以在组织可能不限制内部系统访问的平台上部署分发基础设施。

大多数网络钓鱼垃圾邮件来自巴西

大多数负责发送网络钓鱼消息的系统来自巴西，其次是美国、俄罗斯、墨西哥、阿根廷、厄瓜多尔、南非、法国、西班牙和孟加拉国。网络钓鱼电子邮件通常围绕与发票、财务问题或税务文件相关的主题，有时伪装成地方政府税务机构的通信。

这些电子邮件包含指向 run[.]app 上托管的网站的链接，从而导致直接或通过 302 重定向到 Google Cloud Storage 位置传送包含恶意 MSI 文件的 ZIP 存档。威胁行为者还试图通过使用地理围栏技巧重定向访问者、将具有美国 IP 地址的访问者发送到 Google 等合法网站来逃避检测。

除了为 Mekotio 和 Astaroth 使用相同的基础设施外，与 Astaroth 相关的感染链还被用来分发 Ousaban。所有这三个木马都是专门针对金融机构而设计的，监视用户的网络活动，记录击键，并在目标银行的网站打开时捕获屏幕截图。

Ousaban 有着利用云服务的历史，之前曾使用 Amazon S3 和 Microsoft Azure 下载第二阶段有效负载，并使用 Google Docs 检索命令和控制 (C2) 配置。

这一发展与网络钓鱼活动一起传播恶意软件系列（例如 DCRat、Remcos RAT 和 DarkVNC），能够收集敏感数据并控制受感染的主机。此外，越来越多的威胁行为者在网络钓鱼和基于电子邮件的攻击（quishing）中部署二维码，以欺骗潜在受害者在其移动设备上安装恶意软件。