Pesquisadores de segurança cibernética estão alertando sobre um aumento nas campanhas de phishing por e-mail que estão transformando o serviço Google Cloud Run em uma arma para entregar vários trojans bancários, porquê Astaroth (também publicado porquê Guildma), Mekotio e Ousaban (também publicado porquê Javali) para alvos em toda a América Latina (LATAM) e Europa .
“As cadeias de infecção associadas a essas famílias de malware apresentam o uso de Microsoft Installers (MSIs) maliciosos que funcionam porquê droppers ou downloaders para a(s) fardo(s) final(is) de malware”, divulgaram os pesquisadores do Cisco Talos na semana passada.
As campanhas de distribuição de malware de sobranceiro volume, observadas desde setembro de 2023, empregaram o mesmo pausa de armazenamento no Google Cloud para propagação, sugerindo possíveis ligações entre os atores da prenúncio por trás das campanhas de distribuição.
O Google Cloud Run é uma plataforma de computação gerenciada que permite aos usuários executar serviços de front-end e back-end, trabalhos em lote, implantar sites e aplicativos e enfileirar cargas de trabalho de processamento sem precisar gerenciar ou dimensionar a infraestrutura.
“Os adversários podem ver o Google Cloud Run porquê uma forma barata, mas eficiente, de implantar infraestrutura de distribuição em plataformas que a maioria das organizações provavelmente não impede o entrada de sistemas internos”, disseram os pesquisadores.
A maioria dos sistemas usados para enviar mensagens de phishing são originários do Brasil, seguido pelos EUA, Rússia, México, Argentina, Equador, África do Sul, França, Espanha e Bangladesh. Os e-mails trazem temas relacionados a faturas ou documentos financeiros e fiscais, em alguns casos alegando ser de órgãos fiscais do governo lugar.
Incorporados nessas mensagens estão links para um site hospedado em run(.)aplicativo, resultando na entrega de um registo ZIP contendo um registo MSI malicioso diretamente ou por meio de redirecionamentos 302 para um lugar do Google Cloud Storage, onde o instalador está armazenado.
Os agentes da prenúncio também foram observados tentando evadir da detecção usando truques de geofencing, redirecionando os visitantes desses URLs para um site legítimo porquê o Google ao acessá-los com um endereço IP dos EUA.
Além de aproveitar a mesma infra-estrutura para entregar Mekotio e Astaroth, a enxovia de infecção associada a leste último actua porquê um ducto para partilhar Ousaban.
Astaroth, Mekotio e Ousaban são todos projetados para primar instituições financeiras, mantendo o controle sobre a atividade de navegação dos usuários na web, muito porquê registrando as teclas digitadas e fazendo capturas de tela caso um dos sites do banco intuito esteja destapado.
Ousaban tem um histórico de transformar serviços em nuvem em seu mercê, tendo anteriormente empregado o Amazon S3 e o Microsoft Azure para decrescer cargas úteis de segundo estágio e o Google Docs para restaurar a formato de comando e controle (C2).
O desenvolvimento ocorre em meio a campanhas de phishing que propagam famílias de malware porquê DCRat, Remcos RAT e DarkVNC, que são capazes de coletar dados confidenciais e assumir o controle de hosts comprometidos.
Isso também segue um aumento no número de agentes de ameaças que implantam códigos QR em ataques de phishing e baseados em e-mail (também conhecidos porquê quishing) para induzir vítimas em potencial a instalar malware em seus dispositivos móveis.
“Em um ataque separado, os adversários enviaram e-mails de spear-phishing com códigos QR maliciosos apontando para páginas de login falsas do Microsoft Office 365 que eventualmente roubam as credenciais de login do usuário quando inseridas”, disse Talos.
“Os ataques de código QR são particularmente perigosos porque movem o vetor de ataque de um computador protegido para o dispositivo traste pessoal do intuito, que geralmente possui menos proteções de segurança e, em última estudo, possui as informações confidenciais que os invasores procuram.”
As campanhas de phishing também se voltaram para o sector do petróleo e do gás para implantar um ladrão de informações chamado Rhadamanthys, que atingiu agora a versão 0.6.0, destacando um fluxo metódico de patches e actualizações pelos seus desenvolvedores.
“A campanha começa com um e-mail de phishing usando um relatório de incidente de veículo para atrair as vítimas a interagir com um link incorporado que abusa de um redirecionamento destapado em um domínio legítimo, principalmente Google Maps ou Google Images”, disse Cofense.
Os usuários que clicam no link são redirecionados para um site que hospeda um registo PDF falso, que, na veras, é uma imagem clicável que entra em contato com um repositório GitHub e baixa um registo ZIP contendo o possível do ladrão.
“Mal a vítima tenta interagir com o possível, o malware será descompactado e iniciará uma conexão com um lugar de comando e controle (C2) que coleta quaisquer credenciais roubadas, carteiras de criptomoedas ou outras informações confidenciais”, acrescentou a empresa.
Outras campanhas abusaram de ferramentas de marketing por e-mail, porquê o SendGrid da Twilio, para obter listas de mala direta de clientes e aproveitar credenciais roubadas para enviar e-mails de phishing de aspecto suasivo, segundo a Kaspersky.
“O que torna esta campanha particularmente insidiosa é que os e-mails de phishing contornam as medidas de segurança tradicionais”, observou a empresa russa de cibersegurança. “Uma vez que são enviados através de um serviço legítimo e não contêm sinais óbvios de phishing, podem evadir à detecção por filtros automáticos”.
Estas atividades de phishing são ainda mais alimentadas pela fácil disponibilidade de kits de phishing, porquê o Greatness e o Tycoon, que se tornaram um meio parcimonioso e escalável para aspirantes a criminosos cibernéticos montarem campanhas maliciosas.
“O Tycoon Group (phishing-as-a-service) é vendido e comercializado no Telegram por somente US$ 120”, disse Rodel Mendrez, pesquisador do Trustwave SpiderLabs, na semana passada, observando que o serviço surgiu pela primeira vez por volta de agosto de 2023.
“Seus principais recursos de vendas incluem a capacidade de contornar a autenticação de dois fatores da Microsoft, perceber ‘velocidade de link no nível mais sobranceiro’ e aproveitar o Cloudflare para evitar medidas antibot, garantindo a persistência de links de phishing não detectados.”