Un actor con motivaciones financieras y con sede en América Latina (LATAM) cuyo nombre en código es RAIZ DE FLUJO Se ha observado que se aprovechan los proyectos sin servidor de Google Cloud para orquestar actividades de phishing de credenciales, lo que resalta el abuso del modelo de computación en la nube con fines maliciosos.
«Las arquitecturas sin servidor son atractivas para los desarrolladores y las empresas por su flexibilidad, rentabilidad y facilidad de uso», afirmó Google en su informe bianual. Informe sobre los horizontes de amenazas [PDF] compartido con The Hacker News.
«Estas mismas características hacen que los servicios informáticos sin servidor para todos los proveedores de la nube sean atractivos para los actores de amenazas, que los utilizan para distribuir y comunicarse con su malware, alojar y dirigir a los usuarios a páginas de phishing y ejecutar malware y ejecutar scripts maliciosos diseñados específicamente para ejecutarse en un entorno sin servidor».
La campaña implicó el uso de URL de contenedores de Google Cloud para alojar páginas de phishing de credenciales con el objetivo de recopilar información de inicio de sesión asociada con Mercado Pago, una plataforma de pagos en línea popular en la región de LATAM.
FLUXROOT, según Google, es el actor de amenazas conocido por distribuir el troyano bancario Grandoreiro, y sus campañas recientes también aprovechan servicios de nube legítimos como Microsoft Azure y Dropbox para distribuir el malware.
Por otra parte, la infraestructura en la nube de Google también ha sido utilizada como arma por otro adversario llamado PINEAPPLE para propagar otro malware ladrón conocido como Astaroth (también conocido como Guildma) como parte de ataques dirigidos a usuarios brasileños.
«PINEAPPLE utilizó instancias de Google Cloud comprometidas y proyectos de Google Cloud que ellos mismos crearon para crear URL de contenedores en dominios legítimos sin servidor de Google Cloud, como CloudFunctions.[.]»net y run.app», señaló Google. «Las URL alojaban páginas de destino que redirigían a los objetivos a una infraestructura maliciosa que instalaba Astaroth».
Además, se dice que el actor de amenazas intentó eludir las protecciones de la puerta de enlace de correo electrónico mediante el uso de servicios de reenvío de correo que no eliminan los mensajes con un marco de políticas de remitente fallido (FPS) registros, o incorporar datos inesperados en el Campo de ruta de retorno SMTP para provocar un tiempo de espera de solicitud de DNS y provocar que fallen las comprobaciones de autenticación de correo electrónico.
El gigante de las búsquedas dijo que tomó medidas para mitigar las actividades eliminando los proyectos maliciosos de Google Cloud y actualizando su Listas de Navegación Segura.
La utilización de los servicios y la infraestructura en la nube como arma por parte de actores amenazantes, que van desde la minería ilícita de criptomonedas como consecuencia de configuraciones débiles al ransomware – ha sido alimentado por la mayor adopción de la nube en todas las industrias.
Además, este enfoque tiene el beneficio adicional de permitir que los adversarios se integren a las actividades normales de la red, lo que hace que la detección sea mucho más difícil.
«Los actores de amenazas aprovechan la flexibilidad y la facilidad de implementación de las plataformas sin servidor para distribuir malware y alojar páginas de phishing», afirmó la empresa. «Los actores de amenazas que abusan de los servicios en la nube cambian sus tácticas en respuesta a las medidas de detección y mitigación de los defensores».