Ousaban-Banking-Trojaner

Sicherheitsexperten warnen davor, dass Hacker den Dienst Google Cloud Run ausnutzen, um große Mengen Banking-Trojaner zu verbreiten. Cyberkriminelle nutzen verschiedene mobile Malware-Bedrohungen wie Ousaban sowie andere Banking-Trojaner wie Astaroth und Mekotio .

Mit Google Cloud Run können Benutzer Frontend- und Backend-Dienste, Websites oder Anwendungen bereitstellen und Arbeitslasten verwalten, ohne dass die Komplexität der Infrastrukturverwaltung oder -skalierung anfällt. Der Missbrauch des Google-Dienstes zur Verbreitung von Malware wurde erstmals im September 2023 beobachtet, als brasilianische Akteure Kampagnen starteten, bei denen MSI-Installationsdateien zur Bereitstellung von Malware-Payloads eingesetzt wurden.

Cyberkriminelle nutzen Phishing-Taktiken, um Bedrohungen durch Banking-Trojaner zu verbreiten

Die Angriffe beginnen mit Phishing-E-Mails, die sich an potenzielle Opfer richten und geschickt so gestaltet sind, dass sie echte Kommunikation im Zusammenhang mit Rechnungen, Finanzberichten oder Nachrichten, die angeblich von lokalen Behörden und Steuerbehörden stammen, nachahmen. Die Forscher stellen fest, dass die meisten E-Mails in dieser Kampagne auf Spanisch verfasst sind und an Länder in Lateinamerika gerichtet sind, es gibt jedoch Fälle, in denen Italienisch verwendet wird. Diese betrügerischen E-Mails enthalten Links, die Benutzer zu bösartigen Webdiensten weiterleiten, die auf Google Cloud Run gehostet werden.

In bestimmten Szenarien wird die Nutzlast über MSI-Dateien bereitgestellt. Alternativ nutzt der Dienst eine 302-Weiterleitung zu einem Google Cloud Storage-Speicherort, wo ein ZIP-Archiv mit einer bedrohlichen MSI-Datei gespeichert wird. Bei der Ausführung der schädlichen MSI-Dateien durch Opfer werden zusätzliche Komponenten und Nutzlasten heruntergeladen und auf ihren Systemen ausgeführt. In beobachteten Fällen nutzt die Nutzlastbereitstellung der zweiten Stufe das legitime Windows-Tool „BITSAdmin“ aus.

Um die Persistenz zu gewährleisten und Neustarts zu überstehen, etabliert sich die Malware auf dem System des Opfers, indem sie LNK-Dateien („sysupdates.setup.lnk“) im Startordner hinzufügt. Diese LNK-Dateien sind so konfiguriert, dass sie einen PowerShell-Befehl ausführen, der wiederum das Infektionsskript („AutoIT“) ausführt.

Kompromittierte Geräte werden mit mobiler Malware infiziert, die es auf die Finanzdaten der Opfer abgesehen hat

Die Kampagnen, die Google Cloud Run ausnutzen, umfassen drei Banking-Trojaner: Ousaban, Astaroth und Mekotio. Jeder Trojaner ist darauf ausgelegt, heimlich in Systeme einzudringen, sich einzuschleichen und unerlaubt vertrauliche Finanzdaten abzurufen, um unbefugten Zugriff auf Bankkonten zu ermöglichen.

Ousaban, ein Banking-Trojaner, verfügt über Fähigkeiten wie Keylogging, das Erfassen von Screenshots und das Phishing von Bankzugangsdaten über gefälschte (geklonte) Bankportale. Forscher beobachten, dass Ousaban zu einem späteren Zeitpunkt in der Astaroth-Infektionskette eingeführt wird, was auf eine mögliche Zusammenarbeit zwischen den Betreibern der beiden Malware-Familien oder die Beteiligung eines einzelnen Bedrohungsakteurs hindeutet, der beide überwacht.

Astaroth setzt fortschrittliche Umgehungstechniken ein und konzentriert sich zunächst auf brasilianische Ziele, hat seinen Wirkungsbereich jedoch auf über 300 Finanzinstitute in 15 Ländern Lateinamerikas ausgeweitet. Vor kurzem hat die Malware damit begonnen, Anmeldeinformationen für Kryptowährungs-Austauschdienste zu sammeln. Mithilfe von Keylogging, Bildschirmaufnahme und Überwachung der Zwischenablage stiehlt Astaroth nicht nur sensible Daten, sondern fängt auch den Internetverkehr ab und manipuliert ihn, um Bankzugangsdaten zu erbeuten.

Mekotio ist seit mehreren Jahren aktiv und konzentriert sich auf den lateinamerikanischen Raum. Mekotio ist dafür bekannt, Bankzugangsdaten und persönliche Daten zu stehlen und betrügerische Transaktionen durchzuführen. Mekotio kann Webbrowser manipulieren, um Benutzer auf Phishing-Seiten umzuleiten.