Serviço do Google Cloud virou ferramenta de cibercriminosos
Pesquisadores de cibersegurança estão alertando sobre um aumento nas campanhas de phishing por e-mail que estão utilizando o serviço Google Cloud Run para entregar vários trojans bancários, como Astaroth (também conhecido como Guildma), Mekotio e Ousaban (também conhecido como Javali), para alvos na América Latina e Europa. “As cadeias de infecção associadas a essas famílias de malware apresentam o uso de Instaladores Microsoft Maliciosos (MSIs) que funcionam como droppers ou downloaders para os payloads do malware, divulgaram pesquisadores da Cisco Talos na última semana.
As campanhas de distribuição de malware em grande volume, observadas desde setembro de 2023, empregaram o mesmo bucket de armazenamento dentro do Google Cloud para propagação, sugerindo possíveis ligações entre os atores de ameaças por trás das campanhas de distribuição. O Google Cloud Run é uma plataforma de computação gerenciada que permite aos usuários executar serviços de frontend e backend, trabalhos em lote, implantar sites e aplicativos, e processar filas de trabalho sem ter que gerenciar ou escalar a infraestrutura.
“Os adversários podem ver o Google Cloud Run como uma maneira barata, mas eficaz, de implantar infraestrutura de distribuição em plataformas que a maioria das organizações provavelmente não impede que os sistemas internos acessem”, disseram os pesquisadores. Incorporados nessas mensagens estão links para um site hospedado em run[.]app, resultando na entrega de um arquivo ZIP contendo um arquivo MSI malicioso, diretamente ou via redirecionamentos 302 para um local de Armazenamento do Google Cloud, onde o instalador é armazenado.
Fonte: BoletimSec
Publicado em: Cybersegurança
