Cercetătorii din domeniul securității avertizează că hackerii abuzează de serviciul Google Cloud Run pentru a distribui volume masive de viruși troieni precum Astaroth, Mekotio și Ousaban care vizează datele bancare ale victimelor.
Google Cloud Run a devenit atractiv pentru infractorii cibernetici în ultima vreme datorită rentabilității și capacității sale de a ocoli filtrele standard de securitate.
Google Cloud Run le permite utilizatorilor să implementeze servicii frontend și backend, site-uri web sau aplicații, să gestioneze sarcinile de lucru fără efortul de a gestiona o infrastructură amplă.
Cercetătorii de la Cisco Talos au observat o creștere masivă a utilizării greșite a serviciului Google pentru distribuirea de malware începând cu septembrie 2023, când hackeri brazilieni au lansat campanii folosind fișiere de instalare MSI pentru a implementa malware în calculatoarele victimelor.
Atacurile încep cu e-mailuri de phishing către potențiale victime, concepute pentru a apărea ca comunicări legitime pentru facturi, situații financiare sau mesaje de la autoritățile locale și agențiile fiscale.
Ținta principală: America Latină
Cercetătorii spun că majoritatea e-mailurilor infectate vizează țări din America Latină. E-mailurile conțin linkuri care redirecționează către servicii web rău intenționate găzduite pe Google Cloud Run.
În unele cazuri, livrarea virusului se face prin fișiere MSI. În alte exemple, serviciul emite o redirecționare către Google Cloud Storage, unde este stocată o arhivă ZIP cu un fișier MSI compromis.
Când victima execută fișierele MSI infectate, noi componente și încărcături utile sunt descărcate și executate pe sistem.
Fiecare dintre cei trei troieni bancari – Astaroth/Guildma, Mekotio și Ousaban – este proiectat să se infiltreze în sisteme și să stabilească persistența extragă date financiare sensibile care pot fi folosite pentru preluarea conturilor bancare.
Astaroth vine cu tehnici avansate de evaziune. Inițial, s-a concentrat pe victim din Brazilia, dar acum vizează peste 300 de instituții financiare din 15 țări din America Latină.
Mekotio este, de asemenea, activ de câțiva ani și se concentrează pe regiunea Americii Latine. Este cunoscut pentru furtul de date bancare, informații personale și pentru efectuarea de tranzacții frauduloase. De asemenea, poate manipula browserele web pentru a redirecționa utilizatorii către site-uri de phishing.
Ousaban este un troian bancar capabil să înregistreze taste, să realizeze capturi de ecran și să fure datele bancare folosind portaluri bancare false (clonate).