Malware usando instaladores da Microsoft começou a se espalhar pelo Google Cloud Run fora da região LATAM

15 países da América Latina foram níveo nos últimos meses de campanhas de distribuição de malware que usam instaladores da Microsoft e do Google Cloud Run para infectar dispositivos com trojans bancários que roubam informações confidenciais, porquê credenciais bancárias.

Embora tenham inicialmente porquê níveo os países da América Latina, estas campanhas estão agora a espalhar-se por vários países europeus usando o mesmo método: e-mails de phishing contendo links de instaladores da Microsoft que são distribuídos através do Google Cloud Run, ou balde de armazenamento do Google Cloud.

Cisco Talos, uma das maiores empresas de segurança cibernética do mundo, divulgou recentemente um relatório detalhando essas campanhas de distribuição de malware que incluem trojans bancários porquê Astaroth (também divulgado porquê Guildma), Mekotio e Ousaban.

As vítimas geralmente recebem e-mails de phishing contendo links corrompidos que podem facilmente comprometer os dispositivos depois de acessados. Esses e-mails de phishing fazem parecer que foram enviados por instituições oficiais e podem ser facilmente confundidos se os visados ​​não prestarem atenção.

Na maioria dos casos, estes e-mails são enviados utilizando temas relacionados com faturas ou documentos financeiros e fiscais e, por vezes, fingem ser enviados pela filial fiscal do governo lugar do país visado. No exemplo inferior, o e-mail parece ser da Administración Federalista de Ingresos Públicos (AFIP), a filial tributária do governo lugar na Argentina, um país frequentemente níveo de recentes campanhas de spam.

Cisco Talos

Os agentes da ameaço usam uma combinação de ferramentas de instalação do Google Cloud Run e da Microsoft para prometer que o malware atinja seus alvos, porquê explica a Cisco:

Quando as vítimas acessam esses hiperlinks, elas são redirecionadas para os serviços web Cloud Run implantados pelos agentes da ameaço e recebem os componentes necessários para iniciar o processo de infecção. Conforme afirmado anteriormente, observamos Astaroth e Mekotio sendo distribuídos dessa maneira na forma de arquivos maliciosos do Microsoft Installers (MSI) porquê fardo útil do Estágio 1 para iniciar o processo de infecção. Observamos duas variações recentes na forma porquê os arquivos MSI estão sendo entregues. Em muitos casos, o registro MSI é entregue diretamente do serviço web Google Cloud Run implantado pelo opositor, porquê mostrado no caso do Mekotio inferior.

Cisco Talos

Segundo a empresa de cibersegurança, os atores da ameaço já se infiltraram no mercado europeu, uma vez que várias instituições europeias notaram e-mails suspeitos escritos em espanhol ou italiano. As instituições europeias que são afectadas por ela deveriam tomar medidas imediatas, e também por boas razões. A Cisco afirma que a versão Astaroth já causou danos a mais de 300 instituições em 15 países latino-americanos.

Google e Microsoft não divulgaram nenhuma enunciação solene sobre o matéria, mas a Microsoft atualizou recentemente seu Copilot for Security para determinar as novas ameaças cibernéticas baseadas em IA que estão começando a se tornar populares e eficientes.

No entanto, os ataques clássicos baseados em phishing são também perigosos.

Você pode ler o relatório completo cá.

Flor Flávio

Jornalista de tecnologia

Flavius ​​é redactor e produtor de teor de mídia com interesse privado em tecnologia, jogos, mídia, cinema e narrativa. Ele está sempre curioso e pronto para enfrentar tudo o que há de novo no mundo da tecnologia, cobrindo diariamente os produtos da Microsoft. A paixão por jogos e hardware alimenta sua abordagem jornalística, fazendo dele um grande pesquisador e redator de notícias que está sempre pronto para trazer a você o que há de mais moderno!