Les chercheurs en cybersécurité mettent en garde contre une recrudescence des campagnes de phishing par courrier électronique qui exploitent le service Google Cloud Run pour diffuser divers chevaux de Troie bancaires tels qu’Astaroth (alias Guildma), Mekotio et Ousaban (alias Javali) à des cibles en Amérique latine (LATAM) et en Europe. .
« Les chaînes d’infection associées à ces familles de logiciels malveillants comportent l’utilisation de programmes d’installation Microsoft (MSI) malveillants qui fonctionnent comme des droppers ou des téléchargeurs pour la ou les charges utiles finales des logiciels malveillants », chercheurs de Cisco Talos. divulgué la semaine dernière.
Les campagnes de distribution de logiciels malveillants à grand volume, observées depuis septembre 2023, ont utilisé le même compartiment de stockage au sein de Google Cloud pour la propagation, ce qui suggère des liens potentiels entre les acteurs malveillants à l’origine des campagnes de distribution.
Google Cloud Run est un plateforme de calcul gérée qui permet aux utilisateurs d’exécuter des services front-end et back-end, des tâches par lots, de déployer des sites Web et des applications et de traiter des charges de travail en file d’attente sans avoir à gérer ou à faire évoluer l’infrastructure.
« Les adversaires peuvent considérer Google Cloud Run comme un moyen peu coûteux, mais efficace, de déployer une infrastructure de distribution sur des plates-formes auxquelles la plupart des organisations n’empêchent probablement pas l’accès aux systèmes internes », ont déclaré les chercheurs.
La majorité des systèmes utilisés pour envoyer des messages de phishing proviennent du Brésil, suivi des États-Unis, de Russie, du Mexique, d’Argentine, d’Équateur, d’Afrique du Sud, de France, d’Espagne et du Bangladesh. Les e-mails portent sur des thèmes liés à des factures ou à des documents financiers et fiscaux, prétendant dans certains cas provenir des agences fiscales des gouvernements locaux.
Ces messages contiennent des liens vers un site Web hébergé en cours d’exécution.[.]app, entraînant la livraison d’une archive ZIP contenant un fichier MSI malveillant soit directement, soit via des redirections 302 vers un emplacement Google Cloud Storage, où le programme d’installation est stocké.
Les auteurs de la menace ont également été observés tentant d’échapper à la détection en utilisant des astuces de géorepérage en redirigeant les visiteurs vers ces URL vers un site légitime comme Google lorsqu’ils y accèdent avec une adresse IP américaine.
En plus de tirer parti de la même infrastructure pour livrer Mekotio et Astaroth, la chaîne d’infection associée à ce dernier agit comme un canal pour distribuer Ousaban.
Astaroth, Mekotio et Ousaban sont tous conçus pour identifier les institutions financières, en gardant un œil sur l’activité de navigation Web des utilisateurs, en enregistrant les frappes au clavier et en prenant des captures d’écran si l’un des sites Web de la banque cible est ouvert.
Ousaban a une histoire de militariser les services cloud à son avantage, après avoir utilisé Amazon S3 et Microsoft Azure pour télécharger les charges utiles de deuxième étape, et Google Docs pour récupérer la configuration de commande et de contrôle (C2).
Ce développement intervient au milieu de campagnes de phishing propageant des familles de logiciels malveillants telles que DCRat, Remcos RATet SombreVNC capables de collecter des données sensibles et de prendre le contrôle des hôtes compromis.
Cela fait également suite à une augmentation du nombre d’acteurs malveillants déployant des codes QR dans le cadre d’attaques de phishing et par courrier électronique (c’est-à-dire quishing) pour inciter les victimes potentielles à installer des logiciels malveillants sur leurs appareils mobiles.
« Dans une attaque distincte, les adversaires ont envoyé à leurs cibles des e-mails de spear phishing contenant des codes QR malveillants pointant vers de fausses pages de connexion Microsoft Office 365 qui ont fini par voler les informations de connexion de l’utilisateur lors de leur saisie », Talos dit.
« Les attaques par code QR sont particulièrement dangereuses car elles déplacent le vecteur d’attaque d’un ordinateur protégé vers l’appareil mobile personnel de la cible, qui dispose généralement de moins de protections de sécurité en place et qui, en fin de compte, possède les informations sensibles recherchées par les attaquants. »
Des campagnes de phishing se sont également tournées vers le secteur pétrolier et gazier pour déployer un voleur d’informations appelé Rhadamanthys, qui a actuellement atteint la version 0.6.0, mettant en évidence un flux constant de correctifs et de mises à jour par ses développeurs.
« La campagne commence par un e-mail de phishing utilisant un rapport d’incident de véhicule pour inciter les victimes à interagir avec un lien intégré qui abuse d’une redirection ouverte sur un domaine légitime, principalement Google Maps ou Google Images », a déclaré Cofense. dit.
Les utilisateurs qui cliquent sur le lien sont ensuite redirigés vers un site Web hébergeant un faux fichier PDF, qui, en réalité, est une image cliquable qui contacte un référentiel GitHub et télécharge une archive ZIP contenant l’exécutable du voleur.
« Une fois qu’une victime tente d’interagir avec l’exécutable, le malware décompressera et établira une connexion avec un emplacement de commande et de contrôle (C2) qui collecte toutes les informations d’identification volées, les portefeuilles de crypto-monnaie ou d’autres informations sensibles », a ajouté la société.
D’autres campagnes ont abusé d’outils de marketing par courrier électronique tels que SendGrid de Twilio pour obtenir des listes de diffusion de clients et profiter d’informations d’identification volées pour envoyer des courriers électroniques de phishing convaincants, selon Kaspersky.
« Ce qui rend cette campagne particulièrement insidieuse, c’est que les emails de phishing contournent les mesures de sécurité traditionnelles », estime la société russe de cybersécurité. noté. « Comme ils sont envoyés via un service légitime et ne contiennent aucun signe évident de phishing, ils peuvent échapper à la détection par les filtres automatiques. »
Ces activités de phishing sont en outre alimentées par la disponibilité aisée de kits de phishing tels que Greatness et Tycoon, qui sont devenus un moyen rentable et évolutif permettant aux cybercriminels en herbe de lancer des campagnes malveillantes.
« Groupe Tycoon [phishing-as-a-service] est vendu et commercialisé sur Telegram pour seulement 120 $ », a déclaré Rodel Mendrez, chercheur à Trustwave SpiderLabs. dit la semaine dernière, notant que le service a vu le jour vers août 2023.
« Ses principales fonctionnalités de vente incluent la possibilité de contourner l’authentification à deux facteurs de Microsoft, d’atteindre une « vitesse de liaison au plus haut niveau » et d’exploiter Cloudflare pour échapper aux mesures antibot, garantissant ainsi la persistance des liens de phishing non détectés.