Pesquisadores de segurança estão alertando sobre hackers que abusam do serviço Google Cloud Run para distribuir grandes volumes de trojans bancários como Astaroth, Mekotio e Ousaban.
O Google Cloud Run permite que os usuários implantem serviços de frontend e backend, sites ou aplicativos, e gerenciem cargas de trabalho sem o esforço de gerenciar uma infraestrutura ou escala.
Pesquisadores da Cisco Talos observaram um grande aumento no mau uso do serviço do Google para distribuição de malware a partir de setembro de 2023, quando atores brasileiros lançaram campanhas usando arquivos de instalação MSI para implantar cargas úteis de malware.
O relatório dos pesquisadores observa que o Google Cloud Run tornou-se atraente para os cibercriminosos recentemente devido ao seu custo-benefício e à capacidade de contornar bloqueios e filtros de segurança padrão.
Os ataques começam com e-mails de phishing enviados para possíveis vítimas, feitos para parecerem comunicações legítimas para faturas, demonstrações financeiras ou mensagens de órgãos governamentais e agências de impostos locais.
Os pesquisadores relatam que a maioria dos e-mails da campanha está em espanhol, pois visam países na América Latina, mas também há casos em que o idioma usado é o italiano.
Os e-mails vêm com links que redirecionam para serviços da web maliciosos hospedados no Google Cloud Run.
Em alguns casos, a entrega da carga útil é feita por meio de arquivos MSI.
Em outros exemplos, o serviço emite um redirecionamento 302 para um local de armazenamento do Google Cloud, onde um arquivo ZIP com um arquivo MSI malicioso está armazenado.
Quando a vítima executa os arquivos MSI maliciosos, novos componentes e cargas úteis são baixados e executados no sistema.
Nos casos observados, a entrega da carga útil de segunda fase é feita pelo abuso da ferramenta legítima do Windows 'BITSAdmin'.
Finalmente, o malware estabelece persistência no sistema da vítima para sobreviver aos reinícios, adicionando arquivos LNK ('sysupdates.setup<random_string>.lnk') na pasta de inicialização, configurada para executar um comando PowerShell que executa o script de infecção ('AutoIT').
As campanhas que abusam do Google Cloud Run envolvem três trojans bancários: Astaroth/Guildma, Mekotio e Ousaban.
Cada um é projetado para infiltrar-se com descrição nos sistemas, estabelecer persistência e extrair dados financeiros sensíveis que podem ser usados para assumir contas bancárias.
O Astaroth vem com técnicas avançadas de evasão.
Inicialmente focado em vítimas brasileiras, agora visa mais de 300 instituições financeiras em 15 países da América Latina.
Recentemente, o malware começou a coletar credenciais para serviços de troca de criptomoedas.
Empregando registro de digitação, captura de tela e monitoramento de área de transferência, Astaroth não apenas rouba dados sensíveis, mas também intercepta e manipula o tráfego da internet para capturar credenciais bancárias.
O Mekotio também tem estado ativo por vários anos e se concentra na região da América Latina.
Ele é conhecido por roubar credenciais bancárias, informações pessoais e realizar transações fraudulentas.
Ele também pode manipular navegadores da web para redirecionar usuários para sites de phishing.
Por fim, Ousaban é um trojan bancário capaz de gravar digitações, capturar telas e pescar credenciais bancárias usando portais bancários falsos (ou seja, clonados).
A Cisco Talos observa que Ousaban é entregue em uma fase posterior da cadeia de infecção por Astaroth, indicando uma possível colaboração entre os operadores das duas famílias de malware ou um único ator de ameaça gerenciando ambos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...