Uma pesquisa recente revela que o Google Cloud Run, plataforma de computação que permite aos clientes criar e implantar serviços web localizados no Google Cloud, vem sendo usado em campanhas de distribuição em massa de malware, espalhando vários trojans bancários, como o Astaroth - também conhecido como Guildma -, Mekotio e Ousaban, direcionados principalmente a empresas na América Latina e na Europa.
De acordo com a Cisco Talos, a maioria dos sistemas que enviam essas mensagens estava localizada no Brasil.
A Cisco Talos observou um aumento significativo no volume de e-mails maliciosos utilizando o Google Cloud Run desde setembro de 2023.
A maioria desses e-mails é disfarçada para parecer estar conectada com faturas ou documentos financeiros/fiscais supostamente enviados pela agência fiscal do governo local no país-alvo.
Os e-mails contêm links maliciosos que, uma vez clicados, permitem a entrega dos componentes necessários para iniciar o processo de infecção.
Um dos trojans bancários associados a essas campanhas teve como alvo mais de 300 instituições em apenas 15 países da América Latina.
Quando os aplicativos são implementados no Google Cloud Run, os administradores recebem painéis com informações detalhadas sobre as solicitações atendidas por esses aplicativos web, métricas de performance, configuração de balanceamento de carga e gráficos semelhantes ao que se espera do painel administrativo para muitos sistemas de distribuição de tráfego (TDS) comumente usado por distribuidores de malware.
Eles também disponibilizam uma interface de programação de aplicativos (API) que permite a rápida implementação automatizada de serviços web.
Com base nessas características, os hackers encontraram no Google Cloud Run uma maneira barata, mas eficaz, de implementar infraestrutura distribuída em plataformas cuja maioria das organizações provavelmente não impede o acesso dos sistemas internos.
Ele também permite a rápida rotação de novos aplicativos web do Google Cloud Run conforme eles são removidos pelo provedor da plataforma após o usuário denunciá-los.
A Cisco Talos entrou em contato com o Google para garantir que eles estavam cientes da atividade observada recentemente em todo o cenário de ameaças.
Os pesquisadores da Cisco Talos afirmaram que, embora tenham observado o uso de URLs do Google Cloud Run incluídos em emails há algum tempo, a grande maioria do volume total foi rastreada nos últimos 18 meses, ou seja, desde setembro de 2023.
Eles também verificaram, a partir da distribuição linguística dos e-mails, que as campanhas de e-mails maliciosos estavam principalmente focadas na América Latina, com a esmagadora maioria dos e-mails sendo enviados em espanhol.
A atividade de menor volume também pareceu ter como alvo as vítimas de língua italiana, conforme mostrado abaixo.
A equipe da Cisco Talos ainda observou que a maioria dos sistemas que enviavam as mensagens de email maliciosos estava localizada no Brasil.
Na maioria dos casos, esses e-mails são enviados usando temas relacionados com faturas ou documentos financeiros e fiscais e, às vezes, fingem ser enviados pela agência fiscal do governo local do país-alvo.
Os e-mails contêm hiperlinks para o Google Cloud Run, que podem ser identificados devido ao uso de run[.]app como domínio de nível superior (TLD).
Quando a vítima clica nesse hiperlink, é redirecionada para os serviços web Cloud Run implementados pelos operadores da ameaça e recebe os componentes necessários para iniciar o processo de infecção.
Os pesquisadores observaram o Astaroth e o Mekotio sendo distribuídos dessa forma na forma de arquivos maliciosos do Microsoft Installers (MSI) como payload do primeiro estágio para iniciar o processo de infecção.
Foram observadas duas variações recentes na forma como os arquivos MSI estão sendo entregues.
Em muitos casos, o arquivo MSI é entregue diretamente do serviço web Google Cloud Run implementado pelo hacker, como mostrado no caso do Mekotio abaixo.
Durante a análise, os pesquisadores da Cisco Talos confirmaram a existência de casos em que o mesmo Google Cloud Storage Bucket estava sendo usado para entrega dos malwares Mekotio e Astaroth, ao mesmo tempo.
Também observaram o Ousaban sendo entregue como parte de uma fase posterior da mesma cadeia de infecção do Astaroth.
"Isso significa que o mesmo projeto do Google Cloud estava sendo usado para distribuir ambas as famílias de malware e, com base nas sobreposições nos métodos de distribuição, avaliamos com moderada confiança que as campanhas de distribuição estão ligadas ao mesmo operador de ameaça", disseram os pesquisadores.
O Mekotio é um trojan bancário que historicamente tem como alvo vítimas na América Latina, extraindo informações financeiras confidenciais de sistemas infectados.
Ao contrário do Astaroth, que incorpora JavaScript no MSI, no Mekioto os arquivos MSI contêm arquivos DLL maliciosos que são incluídos como fluxos binários no próprio arquivo do instalador.
Eles também incluem um arquivo CAB que contém duas dependências de DLL e um arquivo de texto.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...