用于网络钓鱼攻击的 Ousaban 银行木马
安全专家警告称,电子邮件网络钓鱼攻击激增,利用 Google Cloud Run 服务向拉丁美洲 (LATAM) 和欧洲的目标分发 Astaroth(也称为 Guildma)、Mekotio 和 Ousaban(又名 Javali)等各种银行木马。
思科 Talos 的研究人员上周透露,与这些恶意软件类型相关的感染链涉及使用恶意 Microsoft 安装程序 (MSI) 作为最终恶意软件负载的植入程序或下载程序。自 2023 年 9 月以来观察到的这些大量恶意软件分发活动一直使用 Google Cloud 中的同一存储桶进行传播,这表明策划这些分发活动的威胁行为者之间存在潜在联系。
研究人员表示,Google Cloud Run 是一个托管计算平台,允许用户运行各种服务和工作负载,被对手视为一种经济有效且高效的手段,可以在组织可能不限制内部系统访问的平台上部署分发基础设施。
大多数网络钓鱼垃圾邮件来自巴西
大多数负责发送网络钓鱼消息的系统来自巴西,其次是美国、俄罗斯、墨西哥、阿根廷、厄瓜多尔、南非、法国、西班牙和孟加拉国。网络钓鱼电子邮件通常围绕与发票、财务问题或税务文件相关的主题,有时伪装成地方政府税务机构的通信。
这些电子邮件包含指向 run[.]app 上托管的网站的链接,从而导致直接或通过 302 重定向到 Google Cloud Storage 位置传送包含恶意 MSI 文件的 ZIP 存档。威胁行为者还试图通过使用地理围栏技巧重定向访问者、将具有美国 IP 地址的访问者发送到 Google 等合法网站来逃避检测。
除了为 Mekotio 和 Astaroth 使用相同的基础设施外,与 Astaroth 相关的感染链还被用来分发 Ousaban。所有这三个木马都是专门针对金融机构而设计的,监视用户的网络活动,记录击键,并在目标银行的网站打开时捕获屏幕截图。
Ousaban 有着利用云服务的历史,之前曾使用 Amazon S3 和 Microsoft Azure 下载第二阶段有效负载,并使用 Google Docs 检索命令和控制 (C2) 配置。
这一发展与网络钓鱼活动一起传播恶意软件系列(例如 DCRat、Remcos RAT 和 DarkVNC),能够收集敏感数据并控制受感染的主机。此外,越来越多的威胁行为者在网络钓鱼和基于电子邮件的攻击(quishing)中部署二维码,以欺骗潜在受害者在其移动设备上安装恶意软件。