Cheval de Troie bancaire Ousaban
Les experts en sécurité préviennent que les pirates informatiques exploitent le service Google Cloud Run pour diffuser de grandes quantités de chevaux de Troie bancaires. Les cybercriminels utilisent diverses menaces de logiciels malveillants mobiles, tels que Ousaban, ainsi que d'autres chevaux de Troie bancaires comme Astaroth et Mekotio .
Google Cloud Run permet aux utilisateurs de déployer des services frontend et backend, des sites Web ou des applications, en gérant les charges de travail sans les complexités de gestion ou de mise à l'échelle de l'infrastructure. L'utilisation abusive du service de Google pour la distribution de logiciels malveillants a été observée pour la première fois en septembre 2023, lorsque des acteurs brésiliens ont lancé des campagnes utilisant des fichiers d'installation MSI pour déployer des charges utiles de logiciels malveillants.
Les cybercriminels exploitent des tactiques de phishing pour diffuser des menaces de chevaux de Troie bancaires
Les attaques commencent par des e-mails de phishing adressés à des victimes potentielles, habilement conçus pour imiter de véritables communications liées à des factures, des états financiers ou des messages provenant prétendument du gouvernement local et des agences fiscales. Les chercheurs notent que la majorité des e-mails de cette campagne sont en espagnol et ciblent les pays d'Amérique latine, mais il existe des cas où l'italien est utilisé. Ces e-mails trompeurs contiennent des liens qui redirigent les utilisateurs vers des services Web malveillants hébergés sur Google Cloud Run.
Dans certains scénarios, la charge utile est transmise via des fichiers MSI. Alternativement, le service utilise une redirection 302 vers un emplacement Google Cloud Storage, où est stockée une archive ZIP contenant un fichier MSI menaçant. Lors de l'exécution des fichiers MSI malveillants par les victimes, des composants et des charges utiles supplémentaires sont téléchargés et exécutés sur leurs systèmes. Dans les cas observés, la livraison de la charge utile en deuxième étape exploite l'outil Windows légitime « BITSAdmin ».
Pour assurer la persistance et survivre aux redémarrages, le malware s'établit sur le système de la victime en ajoutant des fichiers LNK (« sysupdates.setup.lnk ») dans le dossier de démarrage. Ces fichiers LNK sont configurés pour exécuter une commande PowerShell qui, à son tour, exécute le script d'infection (« AutoIT »).
Les appareils compromis sont infectés par des logiciels malveillants mobiles ciblant les données financières des victimes
Les campagnes exploitant le Google Cloud Run mettent en scène trois chevaux de Troie bancaires : Ousaban, Astaroth et Mekotio. Chaque cheval de Troie est conçu pour infiltrer furtivement les systèmes, établir la persistance et obtenir illicitement des données financières sensibles pour un accès non autorisé aux comptes bancaires.
Ousaban, un cheval de Troie bancaire, possède des fonctionnalités telles que l'enregistrement de frappe, la capture de captures d'écran et le phishing d'identifiants bancaires via des portails bancaires contrefaits (clonés). Les chercheurs observent qu'Ousaban est introduit à un stade ultérieur de la chaîne d'infection d'Astaroth, ce qui suggère une collaboration potentielle entre les opérateurs des deux familles de logiciels malveillants ou l'implication d'un seul acteur malveillant supervisant les deux.
Astaroth utilise des techniques d'évasion avancées et se concentre initialement sur des cibles brésiliennes, mais a étendu sa portée à plus de 300 institutions financières dans 15 pays d'Amérique latine. Récemment, le malware a commencé à collecter des informations d’identification pour les services d’échange de crypto-monnaie. En utilisant l'enregistrement au clavier, la capture d'écran et la surveillance du presse-papiers, Astaroth non seulement vole des données sensibles, mais intercepte et manipule également le trafic Internet pour capturer les informations d'identification bancaires.
Mekotio, actif depuis plusieurs années, se concentre sur la région latino-américaine. Connu pour voler des identifiants bancaires et des informations personnelles et pour exécuter des transactions frauduleuses, Mekotio peut manipuler les navigateurs Web pour rediriger les utilisateurs vers des sites de phishing.
