用於網路釣魚攻擊的 Ousaban 銀行木馬

安全專家警告稱，電子郵件網路釣魚攻擊激增，利用 Google Cloud Run 服務向拉丁美洲 (LATAM) 和歐洲的目標分發 Astaroth（也稱為 Guildma）、Mekotio 和 Ousaban（又名 Javali）等各種銀行木馬。

思科 Talos 的研究人員上週透露，與這些惡意軟體類型相關的感染鏈涉及使用惡意 Microsoft 安裝程式 (MSI) 作為最終惡意軟體負載的植入程式或下載程式。自 2023 年 9 月以來觀察到的這些大量惡意軟體分發活動一直使用 Google Cloud 中的相同儲存桶進行傳播，這表明策劃這些分發活動的威脅行為者之間存在潛在聯繫。

研究人員表示，Google Cloud Run 是一個託管運算平台，允許使用者運行各種服務和工作負載，被對手視為一種經濟有效且高效的手段，可以在組織可能不限制內部系統存取的平台上部署分發基礎設施。

大多數網路釣魚垃圾郵件來自巴西

大多數負責發送網路釣魚訊息的系統來自巴西，其次是美國、俄羅斯、墨西哥、阿根廷、厄瓜多、南非、法國、西班牙和孟加拉。網路釣魚電子郵件通常圍繞著與發票、財務問題或稅務文件相關的主題，有時偽裝成地方政府稅務機關的通訊。

這些電子郵件包含指向 run[.]app 上託管的網站的鏈接，從而導致直接或透過 302 重定向到 Google Cloud Storage 位置傳送包含惡意 MSI 檔案的 ZIP 存檔。威脅行為者也試圖透過使用地理圍籬技巧重新導向訪客、將具有美國 IP 位址的訪客傳送到 Google 等合法網站來逃避偵測。

除了為 Mekotio 和 Astaroth 使用相同的基礎設施外，與 Astaroth 相關的感染鏈也被用來分發 Ousaban。所有這三個木馬都是專門針對金融機構而設計的，監視用戶的網路活動，記錄擊鍵，並在目標銀行的網站打開時捕獲螢幕截圖。

Ousaban 有著利用雲端服務的歷史，之前曾使用 Amazon S3 和 Microsoft Azure 下載第二階段有效負載，並使用 Google Docs 擷取指令與控制 (C2) 設定。

這項發展與網路釣魚活動一起傳播惡意軟體系列（例如 DCRat、Remcos RAT 和 DarkVNC），能夠收集敏感資料並控制受感染的主機。此外，越來越多的威脅行為者在網路釣魚和基於電子郵件的攻擊（quishing）中部署二維碼，以欺騙潛在受害者在其行動裝置上安裝惡意軟體。