Банковские трояны нацелены на Латинскую Америку и Европу через Google Cloud Run
Исследователи в области кибербезопасности предупреждают о росте числа фишинговых кампаний по электронной почте, в которых используется сервис Google Cloud Run для доставки различных банковских троянов, таких как Astaroth (он же Guildma), Mekotio и Ousaban (он же Javali), по всей Латинской Америке (LATAM) и Европе.
“В цепочках заражения, связанных с этими семействами вредоносных программ, используются вредоносные инсталляторы Microsoft Installers (MSI), которые выполняют функции дропперов или загрузчиков для конечной полезной нагрузки (полезной нагрузки)”, – сообщили на прошлой неделе исследователи Cisco Talos.
В ходе масштабных кампаний по распространению вредоносного ПО, наблюдаемых с сентября 2023 года, для распространения использовался один и тот же “бакет” хранилища в Google Cloud, что указывает на потенциальную связь между участниками угроз, стоящих за этими кампаниями”.
Google Cloud Run – это управляемая вычислительная платформа, которая позволяет пользователям запускать внешние и внутренние службы, выполнять пакетные задания, развертывать веб-сайты и приложения, а также ставить в очередь рабочие нагрузки без необходимости управления и масштабирования инфраструктуры.
“Недоброжелатели могут рассматривать Google Cloud Run как недорогой, но эффективный способ развертывания инфраструктуры распространения на платформах, к которым большинство организаций, скорее всего, не закрывают доступ внутренним системам”, – говорят исследователи.
Большинство систем, используемых для рассылки фишинговых сообщений, происходят из Бразилии, затем следуют США, Россия, Мексика, Аргентина, Эквадор, ЮАР, Франция, Испания и Бангладеш. Тематика писем связана со счетами или финансовыми и налоговыми документами, в некоторых случаях они выдаются за сообщения от местных государственных налоговых органов.
В эти сообщения вложены ссылки на веб-сайт, размещенный на run[.]app, что приводит к доставке ZIP-архива с вредоносным MSI-файлом либо напрямую, либо с помощью 302 перенаправлений на местоположение Google Cloud Storage, где хранится программа установки.
Угрожающие лица также были замечены в попытках избежать обнаружения с помощью трюков с геозондированием, перенаправляя посетителей этих URL на легитимный сайт, например Google, при доступе к ним с американского IP-адреса.
Помимо использования одной и той же инфраструктуры для доставки Mekotio и Astaroth, цепочка заражения, связанная с последним, служит каналом для распространения Ousaban.
Astaroth, Mekotio и Ousaban предназначены для выделения финансовых учреждений, отслеживая активность пользователей в Интернете, а также регистрируя нажатия клавиш и делая скриншоты, если один из целевых банковских сайтов будет открыт.
Ousaban уже не раз использовала облачные сервисы в своих целях: ранее она применяла Amazon S3 и Microsoft Azure для загрузки полезной нагрузки второго этапа, а также Google Docs для получения конфигурации командно-контрольного пункта (C2).
Эта разработка появилась на фоне фишинговых кампаний, распространяющих такие семейства вредоносных программ, как DCRat, Remcos RAT и DarkVNC, которые способны собирать конфиденциальные данные и брать под контроль скомпрометированные узлы.
Кроме того, участились случаи использования QR-кодов в фишинговых атаках и атаках по электронной почте (так называемых quishing), чтобы обманом заставить потенциальных жертв установить вредоносное ПО на свои мобильные устройства.
“В ходе отдельной атаки злоумышленники рассылали целевым группам фишинговые электронные письма с вредоносными QR-кодами, указывающими на поддельные страницы входа в Microsoft Office 365, которые в итоге похищали учетные данные пользователя при вводе”, – говорится в сообщении Talos.
“Атаки с использованием QR-кодов особенно опасны, поскольку они переносят вектор атаки с защищенного компьютера на личное мобильное устройство пользователя, которое обычно имеет меньше средств защиты и в конечном итоге содержит конфиденциальную информацию, за которой охотятся злоумышленники”.
Фишинговые кампании также обратили свой взор на нефтегазовый сектор, чтобы внедрить похитителя информации под названием Rhadamanthys, который в настоящее время достиг версии 0.6.0, что подчеркивает постоянный поток исправлений и обновлений со стороны его разработчиков.
“Кампания начинается с фишингового письма, в котором используется отчет о происшествии с автомобилем, чтобы заманить жертву к взаимодействию со встроенной ссылкой, которая злоупотребляет открытым редиректом на легитимном домене, в основном Google Maps или Google Images”, – говорится в сообщении Cofense.
Пользователи, перешедшие по ссылке, перенаправляются на сайт, где размещен фальшивый PDF-файл, который на самом деле является кликабельным изображением, связывающимся с репозиторием GitHub и загружающим ZIP-архив, содержащий исполняемый файл кражи.
“После того как жертва попытается взаимодействовать с исполняемым файлом, вредоносная программа распакует его и установит соединение с командно-контрольным пунктом (C2), который соберет все украденные учетные данные, криптовалютные кошельки или другую конфиденциальную информацию”, – добавили в компании.
Другие кампании использовали инструменты маркетинга электронной почты, такие как SendGrid от Twilio, для получения списков рассылки клиентов и использования украденных учетных данных для рассылки убедительно выглядящих фишинговых писем, сообщает Kaspersky.
“Что делает эту кампанию особенно коварной, так это то, что фишинговые письма обходят традиционные меры безопасности”, – отметили в российской компании по кибербезопасности. “Поскольку они отправляются через легитимный сервис и не содержат явных признаков фишинга, они могут ускользнуть от обнаружения автоматическими фильтрами”.
Подобная фишинговая активность еще больше подпитывается легкой доступностью фишинговых наборов, таких как Greatness и Tycoon, которые стали для начинающих киберпреступников экономически эффективным и масштабируемым средством для организации вредоносных кампаний.
“Tycoon Group [фишинг-как-сервис] продается и продается в Telegram всего за 120 долларов”, – сказал на прошлой неделе исследователь Trustwave SpiderLabs Родель Мендрез, отметив, что сервис впервые появился примерно в августе 2023 года.
Среди его ключевых продажных характеристик – возможность обхода двухфакторной аутентификации Microsoft, достижение “скорости соединения на самом высоком уровне” и использование Cloudflare для обхода мер по борьбе с ботами, что обеспечивает сохранение незамеченных фишинговых ссылок”.