Los investigadores de ciberseguridad advierten sobre un aumento en las campañas de phishing por correo electrónico que están utilizando el servicio Google Cloud Run como arma para enviar varios troyanos bancarios como Astaroth (también conocido como Guildma), Mekotio y Ousaban (también conocido como Javali) a objetivos en América Latina (LATAM) y Europa. .
«Las cadenas de infección asociadas con estas familias de malware presentan el uso de instaladores de Microsoft (MSI) maliciosos que funcionan como descargadores o descargadores de las cargas útiles de malware finales», investigadores de Cisco Talos revelado la semana pasada.
Las campañas de distribución de malware de gran volumen, observadas desde septiembre de 2023, han empleado el mismo depósito de almacenamiento dentro de Google Cloud para la propagación, lo que sugiere vínculos potenciales entre los actores de amenazas detrás de las campañas de distribución.
Google Cloud Run es una plataforma informática administrada que permite a los usuarios ejecutar servicios frontend y backend, trabajos por lotes, implementar sitios web y aplicaciones y poner en cola cargas de trabajo de procesamiento sin tener que administrar o escalar la infraestructura.
«Los adversarios pueden ver Google Cloud Run como una forma económica pero efectiva de implementar infraestructura de distribución en plataformas a las que la mayoría de las organizaciones probablemente no impiden el acceso de los sistemas internos», dijeron los investigadores.
La mayoría de los sistemas utilizados para enviar mensajes de phishing se originan en Brasil, seguido de Estados Unidos, Rusia, México, Argentina, Ecuador, Sudáfrica, Francia, España y Bangladesh. Los correos electrónicos contienen temas relacionados con facturas o documentos financieros y fiscales, y en algunos casos pretenden ser de agencias tributarias del gobierno local.
Dentro de estos mensajes hay enlaces a un sitio web alojado en ejecución[.]app, lo que resulta en la entrega de un archivo ZIP que contiene un archivo MSI malicioso, ya sea directamente o mediante redirecciones 302 a una ubicación de Google Cloud Storage, donde se almacena el instalador.
También se ha observado que los actores de amenazas intentan evadir la detección utilizando trucos de geocerca al redirigir a los visitantes a estas URL a un sitio legítimo como Google cuando acceden a ellos con una dirección IP de EE. UU.
Además de aprovechar la misma infraestructura para distribuir tanto Mekotio como Astaroth, la cadena de infección asociada con este último actúa como un conducto para distribuir Ousaban.
Astaroth, Mekotio y Ousaban están diseñados para identificar instituciones financieras, controlar la actividad de navegación web de los usuarios, así como registrar las pulsaciones de teclas y tomar capturas de pantalla en caso de que uno de los sitios web del banco objetivo esté abierto.
Ousaban tiene una historia de convertir los servicios en la nube en armas a su favor, ya que anteriormente había empleado Amazon S3 y Microsoft Azure para descargar cargas útiles de segunda etapa, y Google Docs para recuperar la configuración de comando y control (C2).
El desarrollo se produce en medio de campañas de phishing que propagan familias de malware como DCRat, Remcos RATy oscurovnc que son capaces de recopilar datos confidenciales y tomar el control de hosts comprometidos.
También sigue a un aumento en los actores de amenazas que implementan códigos QR en ataques de phishing y basados en correo electrónico (también conocidos como quishing) para engañar a víctimas potenciales para que instalen malware en sus dispositivos móviles.
«En un ataque separado, los adversarios enviaron a los objetivos correos electrónicos de phishing con códigos QR maliciosos que apuntaban a páginas de inicio de sesión falsas de Microsoft Office 365 que eventualmente roban las credenciales de inicio de sesión del usuario cuando ingresan», Talos dicho.
«Los ataques con códigos QR son particularmente peligrosos porque mueven el vector de ataque de una computadora protegida al dispositivo móvil personal del objetivo, que generalmente tiene menos protecciones de seguridad y, en última instancia, tiene la información confidencial que buscan los atacantes».
Las campañas de phishing también han puesto sus ojos en el sector del petróleo y el gas para desplegar un ladrón de información llamado Rhadamanthys, que actualmente ha alcanzado la versión 0.6.0, destacando un flujo constante de parches y actualizaciones por sus desarrolladores.
«La campaña comienza con un correo electrónico de phishing que utiliza un informe de incidente de vehículo para atraer a las víctimas a interactuar con un enlace incrustado que abusa de una redirección abierta en un dominio legítimo, principalmente Google Maps o Google Imágenes», Cofense dicho.
Los usuarios que hacen clic en el enlace son redirigidos a un sitio web que aloja un archivo PDF falso, que, en realidad, es una imagen en la que se puede hacer clic que se comunica con un repositorio de GitHub y descarga un archivo ZIP que contiene el ejecutable del ladrón.
«Una vez que una víctima intenta interactuar con el ejecutable, el malware se descomprimirá e iniciará una conexión con una ubicación de comando y control (C2) que recopila credenciales robadas, billeteras de criptomonedas u otra información confidencial», agregó la compañía.
Otras campañas han abusado de herramientas de marketing por correo electrónico como SendGrid de Twilio para obtener listas de correo de clientes y aprovechar credenciales robadas para enviar correos electrónicos de phishing de apariencia convincente, según Kaspersky.
«Lo que hace que esta campaña sea especialmente insidiosa es que los correos electrónicos de phishing eluden las medidas de seguridad tradicionales», afirma la empresa rusa de ciberseguridad. anotado. «Dado que se envían a través de un servicio legítimo y no contienen signos evidentes de phishing, pueden evadir la detección mediante filtros automáticos».
Estas actividades de phishing se ven impulsadas aún más por la fácil disponibilidad de kits de phishing como Greatness y Tycoon, que se han convertido en un medio rentable y escalable para que los aspirantes a ciberdelincuentes monten campañas maliciosas.
«Grupo magnate [phishing-as-a-service] se vende y comercializa en Telegram por tan sólo 120 dólares», afirma el investigador de Trustwave SpiderLabs, Rodel Mendrez. dicho la semana pasada, señalando que el servicio entró en funcionamiento alrededor de agosto de 2023.
«Sus características clave de venta incluyen la capacidad de eludir la autenticación de dos factores de Microsoft, lograr ‘velocidad de enlace al más alto nivel’ y aprovechar Cloudflare para evadir las medidas antibot, asegurando la persistencia de enlaces de phishing no detectados».