Los investigadores de ciberseguridad advierten sobre un aumento en las campañas de phishing por correo electrónico que están utilizando el servicio Google Cloud Run como arma para enviar varios troyanos bancarios como Astaroth (también conocido como Guildma), Mekotio y Ousaban (también conocido como Javali) a objetivos en toda América Latina (LATAM) y Europa. .
«Las cadenas de infección asociadas con estas familias de malware presentan el uso de instaladores de Microsoft (MSI) maliciosos que funcionan como descargadores o descargadores de las cargas útiles de malware finales», revelaron los investigadores de Cisco Talos la semana pasada.
Las campañas de distribución de malware de gran volumen, observadas desde septiembre de 2023, han empleado el mismo depósito de almacenamiento dentro de Google Cloud para la propagación, lo que sugiere vínculos potenciales entre los actores de amenazas detrás de las campañas de distribución.
Google Cloud Run es una plataforma informática administrada que permite a los usuarios ejecutar servicios frontend y backend, trabajos por lotes, implementar sitios web y aplicaciones y poner en cola cargas de trabajo de procesamiento sin tener que administrar o escalar la infraestructura.
«Los adversarios pueden ver Google Cloud Run como una forma económica pero efectiva de implementar infraestructura de distribución en plataformas a las que la mayoría de las organizaciones probablemente no impiden el acceso de los sistemas internos», dijeron los investigadores.
La mayoría de los Troyanos bancarios envian mensajes de phishing
La mayoría de los sistemas utilizados para enviar mensajes de phishing se originan en Brasil, seguido de Estados Unidos, Rusia, México, Argentina, Ecuador, Sudáfrica, Francia, España y Bangladesh. Los correos electrónicos contienen temas relacionados con facturas o documentos financieros y fiscales, y en algunos casos pretenden ser de agencias tributarias del gobierno local.
Dentro de estos mensajes hay enlaces a un sitio web alojado en la aplicación run[.], lo que da como resultado la entrega de un archivo ZIP que contiene un archivo MSI malicioso, ya sea directamente o mediante redirecciones 302 a una ubicación de Google Cloud Storage, donde se almacena el instalador.
También se ha observado que los actores de amenazas intentan evadir la detección utilizando trucos de geocerca al redirigir a los visitantes a estas URL a un sitio legítimo como Google cuando acceden a ellos con una dirección IP de EE. UU.
Además de aprovechar la misma infraestructura para distribuir tanto Mekotio como Astaroth, la cadena de infección asociada con este último actúa como un conducto para distribuir Ousaban.
Están diseñados para identificar instituciones financieras
Astaroth, Mekotio y Ousaban están diseñados para identificar instituciones financieras, controlar la actividad de navegación web de los usuarios, así como registrar las pulsaciones de teclas y tomar capturas de pantalla en caso de que uno de los sitios web del banco objetivo esté abierto.
Ousaban tiene un historial de utilizar los servicios en la nube como armas a su favor, habiendo empleado anteriormente Amazon S3 y Microsoft Azure para descargar cargas útiles de segunda etapa, y Google Docs para recuperar la configuración de comando y control (C2).
El desarrollo se produce en medio de campañas de phishing que propagan familias de malware como DCRat, Remcos RAT y DarkVNC que son capaces de recopilar datos confidenciales y tomar el control de hosts comprometidos.
También sigue a un aumento en los actores de amenazas que implementan códigos QR en ataques de phishing y basados en correo electrónico (también conocidos como quishing) para engañar a víctimas potenciales para que instalen malware en sus dispositivos móviles.
«En un ataque separado, los adversarios enviaron a los objetivos correos electrónicos de phishing con códigos QR maliciosos que apuntaban a páginas de inicio de sesión falsas de Microsoft Office 365 que eventualmente roban las credenciales de inicio de sesión del usuario cuando ingresan», dijo Talos .
Ataques con códigos QR
«Los ataques con códigos QR son particularmente peligrosos porque mueven el vector de ataque de una computadora protegida al dispositivo móvil personal del objetivo, que generalmente tiene menos protecciones de seguridad y, en última instancia, tiene la información confidencial que buscan los atacantes».
Las campañas de phishing también han puesto sus ojos en el sector del petróleo y el gas para desplegar un ladrón de información llamado Rhadamanthys , que actualmente ha alcanzado la versión 0.6.0, destacando un flujo constante de parches y actualizaciones por parte de sus desarrolladores.
«La campaña comienza con un correo electrónico de phishing que utiliza un informe de incidente de vehículo para atraer a las víctimas a interactuar con un enlace incrustado que abusa de una redirección abierta en un dominio legítimo, principalmente Google Maps o Google Imágenes», dijo Cofense .
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.