Ousaban バンキング型トロイの木馬

セキュリティ専門家は、ハッカーがGoogle Cloud Runサービスを悪用して大量のバンキング型トロイの木馬を広めていると警告している。サイバー犯罪者は、 AstarothやMekotioなどの他のバンキング型トロイの木馬に加えて、Ousaban などのさまざまなモバイル マルウェアの脅威を利用しています。

Google Cloud Run を使用すると、ユーザーはフロントエンドおよびバックエンドのサービス、ウェブサイト、アプリケーションをデプロイし、インフラストラクチャ管理やスケーリングの複雑さを伴うことなくワークロードを管理できるようになります。マルウェア配布のための Google サービスの悪用は、ブラジルの攻撃者が MSI インストーラー ファイルを使用してマルウェア ペイロードを展開するキャンペーンを開始した 2023 年 9 月に初めて観察されました。

サイバー犯罪者がフィッシング戦術を悪用してバンキング型トロイの木馬の脅威をもたらす

この攻撃は、潜在的な被害者に向けられたフィッシングメールから始まり、請求書、財務諸表、または地方自治体や税務当局からのメッセージに関連する本物の通信を模倣するように巧みに設計されています。研究者らは、このキャンペーンの電子メールの大部分はスペイン語で、ラテンアメリカ諸国をターゲットにしているが、イタリア語が使用されている例もあると指摘しています。これらの詐欺メールには、Google Cloud Run でホストされている悪意のある Web サービスにユーザーをリダイレクトするリンクが含まれています。

特定のシナリオでは、ペイロードは MSI ファイルを通じて配信されます。あるいは、このサービスは、Google Cloud Storage の場所への 302 リダイレクトを使用し、そこに脅威的な MSI ファイルを含む ZIP アーカイブが保存されます。被害者が悪意のある MSI ファイルを実行すると、追加のコンポーネントとペイロードがダウンロードされ、被害者のシステム上で実行されます。観察されているケースでは、第 2 段階のペイロード配信では、正規の Windows ツール「BITSAdmin」が悪用されています。

永続性を確保し、再起動しても生き残るために、マルウェアは、スタートアップ フォルダーに LNK ファイル (「sysupdates.setup.lnk」) を追加することで、被害者のシステムに自身を確立します。これらの LNK ファイルは、PowerShell コマンドを実行するように構成されており、このコマンドによって感染スクリプト (「AutoIT」) が実行されます。

侵害されたデバイスが被害者の金融データを狙うモバイル マルウェアに感染

Google Cloud Run を悪用するキャンペーンには、Ousaban、Astaroth、Mekotio という 3 つのバンキング型トロイの木馬が登場します。各トロイの木馬は、密かにシステムに侵入し、永続性を確立し、銀行口座への不正アクセスのために機密の財務データを不正に取得するように作られています。

バンキング型トロイの木馬である Ousaban は、キーロギング、スクリーンショットのキャプチャ、偽造 (クローン) バンキング ポータルを介した銀行認証情報のフィッシングなどの機能を備えています。研究者らは、Ousaban が Astaroth 感染チェーンの後の段階で導入されたことを観察しており、これは 2 つのマルウェア ファミリのオペレーター間の協力、または両方を監視する単一の脅威アクターの関与の可能性を示唆しています。

Astaroth は高度な回避技術を採用しており、当初はブラジルをターゲットにしていましたが、その対象範囲をラテンアメリカ 15 か国の 300 以上の金融機関に拡大しました。最近、このマルウェアは暗号通貨交換サービスの認証情報を収集し始めました。 Astaroth は、キーロギング、画面キャプチャ、およびクリップボード監視を利用して、機密データを窃取するだけでなく、インターネット トラフィックを傍受および操作して、銀行の認証情報を取得します。

メコティオは数年間にわたりラテンアメリカ地域に集中して活動しています。 Mekotio は、銀行の認証情報や個人情報を盗み、不正な取引を実行することで知られており、Web ブラウザを操作してユーザーをフィッシング サイトにリダイレクトすることができます。