用於網路釣魚攻擊的 Ousaban 銀行木馬
安全專家警告稱,電子郵件網路釣魚攻擊激增,利用 Google Cloud Run 服務向拉丁美洲 (LATAM) 和歐洲的目標分發 Astaroth(也稱為 Guildma)、Mekotio 和 Ousaban(又名 Javali)等各種銀行木馬。
思科 Talos 的研究人員上週透露,與這些惡意軟體類型相關的感染鏈涉及使用惡意 Microsoft 安裝程式 (MSI) 作為最終惡意軟體負載的植入程式或下載程式。自 2023 年 9 月以來觀察到的這些大量惡意軟體分發活動一直使用 Google Cloud 中的相同儲存桶進行傳播,這表明策劃這些分發活動的威脅行為者之間存在潛在聯繫。
研究人員表示,Google Cloud Run 是一個託管運算平台,允許使用者運行各種服務和工作負載,被對手視為一種經濟有效且高效的手段,可以在組織可能不限制內部系統存取的平台上部署分發基礎設施。
大多數網路釣魚垃圾郵件來自巴西
大多數負責發送網路釣魚訊息的系統來自巴西,其次是美國、俄羅斯、墨西哥、阿根廷、厄瓜多、南非、法國、西班牙和孟加拉。網路釣魚電子郵件通常圍繞著與發票、財務問題或稅務文件相關的主題,有時偽裝成地方政府稅務機關的通訊。
這些電子郵件包含指向 run[.]app 上託管的網站的鏈接,從而導致直接或透過 302 重定向到 Google Cloud Storage 位置傳送包含惡意 MSI 檔案的 ZIP 存檔。威脅行為者也試圖透過使用地理圍籬技巧重新導向訪客、將具有美國 IP 位址的訪客傳送到 Google 等合法網站來逃避偵測。
除了為 Mekotio 和 Astaroth 使用相同的基礎設施外,與 Astaroth 相關的感染鏈也被用來分發 Ousaban。所有這三個木馬都是專門針對金融機構而設計的,監視用戶的網路活動,記錄擊鍵,並在目標銀行的網站打開時捕獲螢幕截圖。
Ousaban 有著利用雲端服務的歷史,之前曾使用 Amazon S3 和 Microsoft Azure 下載第二階段有效負載,並使用 Google Docs 擷取指令與控制 (C2) 設定。
這項發展與網路釣魚活動一起傳播惡意軟體系列(例如 DCRat、Remcos RAT 和 DarkVNC),能夠收集敏感資料並控制受感染的主機。此外,越來越多的威脅行為者在網路釣魚和基於電子郵件的攻擊(quishing)中部署二維碼,以欺騙潛在受害者在其行動裝置上安裝惡意軟體。