Troyano bancario Ousaban

Los expertos en seguridad advierten que los piratas informáticos están aprovechando el servicio Google Cloud Run para difundir grandes cantidades de troyanos bancarios. Los ciberdelincuentes utilizan diversas amenazas de malware móvil, como Ousaban, junto con otros troyanos bancarios como Astaroth y Mekotio .

Google Cloud Run permite a los usuarios implementar servicios, sitios web o aplicaciones frontend y backend, administrando cargas de trabajo sin las complejidades de la administración o el escalado de la infraestructura. El uso indebido del servicio de Google para la distribución de malware se observó por primera vez en septiembre de 2023, cuando actores brasileños iniciaron campañas empleando archivos de instalación MSI para implementar cargas útiles de malware.

Los ciberdelincuentes aprovechan las tácticas de phishing para lanzar amenazas de troyanos bancarios

Los ataques comienzan con correos electrónicos de phishing dirigidos a víctimas potenciales, hábilmente diseñados para imitar comunicaciones genuinas relacionadas con facturas, estados financieros o mensajes supuestamente de gobiernos locales y agencias tributarias. Los investigadores señalan que la mayoría de los correos electrónicos de esta campaña están en español y están dirigidos a países de América Latina, pero hay casos en los que se utiliza el italiano. Estos correos electrónicos engañosos contienen enlaces que redirigen a los usuarios a servicios web maliciosos alojados en Google Cloud Run.

En determinados escenarios, la carga útil se entrega a través de archivos MSI. Alternativamente, el servicio emplea una redirección 302 a una ubicación de Google Cloud Storage, donde se almacena un archivo ZIP que contiene un archivo MSI amenazador. Tras la ejecución de los archivos MSI maliciosos por parte de las víctimas, se descargan y ejecutan componentes y cargas adicionales en sus sistemas. En los casos observados, la entrega de carga útil de la segunda etapa explota la herramienta legítima de Windows 'BITSAdmin'.

Para garantizar la persistencia y sobrevivir a los reinicios, el malware se establece en el sistema de la víctima agregando archivos LNK ('sysupdates.setup.lnk') en la carpeta Inicio. Estos archivos LNK están configurados para ejecutar un comando de PowerShell que, a su vez, ejecuta el script de infección ('AutoIT').

Los dispositivos comprometidos están infectados con malware móvil dirigido a los datos financieros de las víctimas

Las campañas que explotan Google Cloud Run incluyen tres troyanos bancarios: Ousaban, Astaroth y Mekotio. Cada troyano está diseñado para infiltrarse sigilosamente en los sistemas, establecer persistencia y obtener ilícitamente datos financieros confidenciales para acceder no autorizados a cuentas bancarias.

Ousaban, un troyano bancario, posee capacidades como registro de teclas, captura de pantalla y phishing para obtener credenciales bancarias a través de portales bancarios falsificados (clonados). Los investigadores observan que Ousaban se introduce en una etapa posterior de la cadena de infección de Astaroth, lo que sugiere una posible colaboración entre los operadores de las dos familias de malware o la participación de un único actor de amenazas que supervisa a ambas.

Astaroth emplea técnicas de evasión avanzadas e inicialmente se centra en objetivos brasileños, pero ha ampliado su alcance a más de 300 instituciones financieras en 15 países de América Latina. Recientemente, el malware comenzó a recopilar credenciales para servicios de intercambio de criptomonedas. Al utilizar el registro de teclas, la captura de pantalla y el monitoreo del portapapeles, Astaroth no solo roba datos confidenciales sino que también intercepta y manipula el tráfico de Internet para capturar credenciales bancarias.

Mekotio, activa desde hace varios años, se concentra en la región latinoamericana. Conocido por robar credenciales bancarias e información personal y ejecutar transacciones fraudulentas, Mekotio puede manipular los navegadores web para redirigir a los usuarios a sitios de phishing.