Un acteur basé en Amérique latine (LATAM) motivé par des raisons financières et portant le nom de code FLUXROOT il a été observé que des projets sans serveur de Google Cloud étaient utilisés pour orchestrer des activités de phishing d’informations d’identification, mettant en évidence l’abus du modèle de cloud computing à des fins malveillantes.
« Les architectures sans serveur sont attrayantes pour les développeurs et les entreprises en raison de leur flexibilité, de leur rentabilité et de leur facilité d’utilisation », a déclaré Google dans son rapport semestriel. Rapport sur les horizons des menaces [PDF] partagé avec The Hacker News.
« Ces mêmes fonctionnalités rendent les services informatiques sans serveur pour tous les fournisseurs de cloud attrayants pour les acteurs de la menace, qui les utilisent pour diffuser et communiquer avec leurs logiciels malveillants, héberger et diriger les utilisateurs vers des pages de phishing, et pour exécuter des logiciels malveillants et exécuter des scripts malveillants spécifiquement conçus pour s’exécuter dans un environnement sans serveur. »
La campagne impliquait l’utilisation d’URL de conteneurs Google Cloud pour héberger des pages de phishing d’informations d’identification dans le but de récolter des informations de connexion associées à Mercado Pago, une plateforme de paiement en ligne populaire dans la région LATAM.
FLUXROOT, selon Google, est l’acteur malveillant connu pour avoir distribué le cheval de Troie bancaire Grandoreiro, les campagnes récentes profitant également de services cloud légitimes comme Microsoft Azure et Dropbox pour distribuer le malware.
Par ailleurs, l’infrastructure cloud de Google a également été utilisée comme arme par un autre adversaire nommé PINEAPPLE pour propager un autre malware voleur connu sous le nom d’Astaroth (alias Guildma) dans le cadre d’attaques ciblant les utilisateurs brésiliens.
« PINEAPPLE a utilisé des instances Google Cloud compromises et des projets Google Cloud qu’ils ont eux-mêmes créés pour créer des URL de conteneur sur des domaines sans serveur Google Cloud légitimes tels que cloudfunctions[.]net et run.app », a noté Google. « Les URL hébergeaient des pages de destination redirigeant les cibles vers une infrastructure malveillante qui a fait tomber Astaroth. »
En outre, l’acteur de la menace aurait tenté de contourner les protections de la passerelle de messagerie en utilisant des services de transfert de courrier qui ne suppriment pas les messages dont le Sender Policy Framework a échoué (FPS) des enregistrements ou l’incorporation de données inattendues dans le Champ Chemin de retour SMTP afin de déclencher un délai d’expiration de requête DNS et de provoquer l’échec des vérifications d’authentification des e-mails.
Le géant de la recherche a déclaré avoir pris des mesures pour atténuer les activités en supprimant les projets malveillants de Google Cloud et en mettant à jour son Listes de navigation sécurisée.
L’utilisation d’armes comme arme des services et infrastructures cloud par des acteurs malveillants – allant de l’extraction illicite de cryptomonnaies à conséquence de configurations faibles au ransomware – a été alimenté par l’adoption accrue du cloud dans tous les secteurs.
De plus, cette approche présente l’avantage supplémentaire de permettre aux adversaires de se fondre dans les activités normales du réseau, ce qui rend la détection beaucoup plus difficile.
« Les acteurs malveillants profitent de la flexibilité et de la facilité de déploiement des plateformes sans serveur pour diffuser des logiciels malveillants et héberger des pages de phishing », a déclaré la société. « Les acteurs malveillants qui abusent des services cloud modifient leurs tactiques en réponse aux mesures de détection et d’atténuation des défenseurs. »