Specialiștii în securitate avertizează că hackerii abuzează de serviciul Google Cloud Run pentru a distribui volume masive de troieni bancari precum Astaroth, Mekotio și Ousaban.
Google Cloud Run permite utilizatorilor să desfășoare servicii frontend și backend, site-uri web sau aplicații, să gestioneze sarcinile de lucru fără efortul gestionării unei infrastructuri sau scalării.
Cercetătorii de la Cisco Talos au observat o creștere masivă a utilizării serviciului Google pentru distribuția de malware începând din septembrie 2023, când actorii brazilieni au lansat campanii folosind fișiere instalator MSI pentru a desfășura încărcături de malware.
Raportul cercetătorilor menționează că Google Cloud Run a devenit atractiv pentru infractorii cibernetici în ultima perioadă datorită rentabilității sale și a capacității de a ocoli blocurile și filtrele de securitate standard.
Atacurile încep cu e-mailuri de pescuit trimise victimelor potențiale, create pentru a părea comunicări legitime pentru facturi, state financiare sau mesaje de la agenții guvernamentale locale și fiscale.
Cercetătorii spun că majoritatea e-mailurilor din campanie sunt în spaniolă, deoarece vizează țările din America Latină, dar există și cazuri în care limbajul folosit este italian.
E-mailurile vin cu link-uri care redirecționează către servicii web dăunătoare găzduite pe Google Cloud Run.
În unele cazuri, livrarea încărcăturii se face prin fișiere MSI. În alte exemple, serviciul emite o redirecționare 302 către o locație Google Cloud Storage, unde este stocat un arhivă ZIP cu un fișier MSI dăunător.
Când victima execută fișierele MSI dăunătoare, noi componente și încărcături sunt descărcate și executate pe sistem.
În cazurile observate, livrarea celei de-a doua etape a încărcăturii se face abuzând de instrumentul legitim Windows ‘BITSAdmin’.
În cele din urmă, malware-ul stabilește persistența pe sistemul victimei pentru a supraviețui repornirilor prin adăugarea de fișiere LNK (‘sysupdates.setup
Campaniile care abuzează de Google Cloud Run implică trei troieni bancari: Astaroth/Guildma, Mekotio și Ousaban. Fiecare este proiectat să infiltreze sistemele în mod furtiv, să stabilească persistența și să exfilteze date financiare sensibile care pot fi folosite pentru preluarea conturilor bancare.
Astaroth vine cu tehnici avansate de evaziune. Inițial s-a concentrat pe victimele braziliene, dar acum vizează peste 300 de instituții financiare din 15 țări din America Latină. Recent, malware-ul a început să colecteze acreditări pentru serviciile de schimb valutar criptografic.
Prin utilizarea keyloggingului, captură de ecran și monitorizarea clipboardului, Astaroth nu doar fură date sensibile, ci și interceptează și manipulează traficul pe internet pentru a captura acreditările bancare.
Mekotio a fost, de asemenea, activ de mai mulți ani și se concentrează pe regiunea Latină Americană.
Este cunoscut pentru furtul de acreditări bancare, informații personale și efectuarea de tranzacții frauduloase. Poate manipula, de asemenea, browserele web pentru a redirecționa utilizatorii către site-uri de phishing.
În cele din urmă, Ousaban este un troian bancar capabil de keylogging, captură de ecran și phishing pentru acreditări bancare folosind portaluri bancare false (adicatea clonate).
Cisco Talos remarcă că Ousaban este livrat într-o etapă ulterioară a lanțului de infectare Astaroth, indicând o colaborare potențială între operatorii celor două familii de malware sau un singur actor de amenințare care gestionează ambele.
Am contactat Google pentru detalii despre ce intenționează compania să facă pentru a contracara această amenințare, iar un purtător de cuvânt a trimis următorul comentariu:
Suntem recunoscători pentru munca cercetătorilor în identificarea și raportarea utilizării Cloud Run pentru a redirecționa utilizatorii către conținut dăunător.
Am eliminat linkurile ofensatoare și analizăm întărirea eforturilor noastre de mitigare pentru a ajuta la prevenirea acestui tip de activitate nelegitimă.
Actualizare 2/22 – Adăugat comentariul Google