近期有安全研究人员警告称,黑客滥用谷歌云运行服务传播大量银行木马,如Astaroth、Mekotio和Ousaban。
谷歌云运行服务无需管理基础设施或进行扩展,允许用户部署前端和后端服务、网站或应用程序,处理工作负载。
思科Talos研究人员观察到,从2023年9月开始,滥用谷歌服务传播恶意软件的情况大量增加,当时就曾有巴西黑客发起了使用MSI安装文件部署恶意软件有效载荷的活动。
研究人员的报告中指出,谷歌云运行服务近来对网络犯罪分子很有吸引力,因为它成本效益高,而且能够绕过标准的安全拦截和过滤器。
链接到谷歌云运行服务的大量钓鱼电子邮件
攻击链
这些攻击往往是通过发送给潜在受害者的网络钓鱼电子邮件开始,这些电子邮件被伪造成发票、财务报表或当地政府和税务机构信息的合法通信。
研究人员称,由于攻击目标是拉丁美洲国家,因此活动中的大多数电子邮件都使用西班牙语,但也有使用意大利语的情况。
活动中使用的钓鱼电子邮件样本(思科)
这些电子邮件带有重定向到谷歌云运行服务托管的恶意网络服务的链接。
在某些情况下,有效载荷通过 MSI 文件传送。在其他示例中,服务会发出 302 重定向到谷歌云存储位置,该位置存储了包含恶意 MSI 文件的 ZIP 压缩包。
恶意软件分发链(思科)
当受害者执行恶意 MSI 文件时,系统会下载并执行新的组件和有效载荷。
在观察到的案例中,第二阶段的有效载荷传输是通过滥用合法的 Windows 工具 "BITSAdmin "完成的。
最后,恶意软件通过在启动文件夹中添加 LNK 文件('sysupdates.setup<random_string>.lnk'),配置为执行 PowerShell 命令来执行感染脚本('AutoIT'),从而在受害者的系统上建立持久性,以便在重启后继续运行。
阿斯塔罗斯的执行链(思科)
黑客利用谷歌云运行服务传播三大银行木马
此次黑客利用谷歌云运行服务传播的三个银行木马分别是: Astaroth/Guildma、Mekotio 和 Ousaban。这些木马都能够隐蔽地渗透系统、建立持久性并外泄敏感的金融数据,这些数据均可用于接管银行账户。
Astaroth 具有先进的规避技术。该恶意软件最初主要针对巴西受害者,但现在的目标是拉丁美洲 15 个国家的 300 多家金融机构。最近,该恶意软件开始利用键盘记录、屏幕捕获和剪贴板监控,Astaroth 不仅能窃取敏感数据,还能拦截和操纵互联网流量以获取银行凭证。
Ousaban与Astaroth或系同个恶意软件家族
除了Astaroth外,Mekotio 也已活跃数年,它以窃取银行凭证、个人信息和进行欺诈性交易而闻名。它还可以操纵网络浏览器,将用户重定向到钓鱼网站。其以往的攻击活动主要集中在拉丁美洲地区。
另外一个Ousaban 银行木马能够进行键盘记录、截图,并利用伪造(即克隆)的银行门户网站对银行凭证进行网络钓鱼。
Cisco Talos指出,Ousaban是在Astaroth感染链的后期阶段发布的,这表明这两个恶意软件家族的操作者之间可能存在合作,或者是这两个恶意软件家族可能是由同一个威胁行为者同时管理的。