{"id":1248954,"date":"2024-07-22T11:44:59","date_gmt":"2024-07-22T13:44:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-groupes-de-hackers-pineapple-et-fluxroot-utilisent-google-cloud-pour-pirater-les-identifiants\/"},"modified":"2024-07-22T11:45:03","modified_gmt":"2024-07-22T13:45:03","slug":"les-groupes-de-hackers-pineapple-et-fluxroot-utilisent-google-cloud-pour-pirater-les-identifiants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-groupes-de-hackers-pineapple-et-fluxroot-utilisent-google-cloud-pour-pirater-les-identifiants\/","title":{"rendered":"Les groupes de hackers PINEAPPLE et FLUXROOT utilisent Google Cloud pour pirater les identifiants"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 juillet 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>S\u00e9curit\u00e9 du Cloud \/ Attaque de phishing<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un acteur bas\u00e9 en Am\u00e9rique latine (LATAM) motiv\u00e9 par des raisons financi\u00e8res et portant le nom de code FLUXROOT<\/strong> il a \u00e9t\u00e9 observ\u00e9 que des projets sans serveur de Google Cloud \u00e9taient utilis\u00e9s pour orchestrer des activit\u00e9s de phishing d’informations d’identification, mettant en \u00e9vidence l’abus du mod\u00e8le de cloud computing \u00e0 des fins malveillantes.<\/p>\n

\u00ab Les architectures sans serveur sont attrayantes pour les d\u00e9veloppeurs et les entreprises en raison de leur flexibilit\u00e9, de leur rentabilit\u00e9 et de leur facilit\u00e9 d’utilisation \u00bb, a d\u00e9clar\u00e9 Google dans son rapport semestriel. Rapport sur les horizons des menaces<\/a> [PDF] partag\u00e9 avec The Hacker News.<\/p>\n

\u00ab Ces m\u00eames fonctionnalit\u00e9s rendent les services informatiques sans serveur pour tous les fournisseurs de cloud attrayants pour les acteurs de la menace, qui les utilisent pour diffuser et communiquer avec leurs logiciels malveillants, h\u00e9berger et diriger les utilisateurs vers des pages de phishing, et pour ex\u00e9cuter des logiciels malveillants et ex\u00e9cuter des scripts malveillants sp\u00e9cifiquement con\u00e7us pour s’ex\u00e9cuter dans un environnement sans serveur. \u00bb<\/p>\n

\"La<\/a><\/center><\/section>\n

La campagne impliquait l’utilisation d’URL de conteneurs Google Cloud pour h\u00e9berger des pages de phishing d’informations d’identification dans le but de r\u00e9colter des informations de connexion associ\u00e9es \u00e0 Mercado Pago, une plateforme de paiement en ligne populaire dans la r\u00e9gion LATAM.<\/p>\n

FLUXROOT, selon Google, est l’acteur malveillant connu pour avoir distribu\u00e9 le cheval de Troie bancaire Grandoreiro, les campagnes r\u00e9centes profitant \u00e9galement de services cloud l\u00e9gitimes comme Microsoft Azure et Dropbox pour distribuer le malware.<\/p>\n

Par ailleurs, l’infrastructure cloud de Google a \u00e9galement \u00e9t\u00e9 utilis\u00e9e comme arme par un autre adversaire nomm\u00e9 PINEAPPLE pour propager un autre malware voleur connu sous le nom d’Astaroth (alias Guildma) dans le cadre d’attaques ciblant les utilisateurs br\u00e9siliens.<\/p>\n

“PINEAPPLE a utilis\u00e9 des instances Google Cloud compromises et des projets Google Cloud qu’ils ont eux-m\u00eames cr\u00e9\u00e9s pour cr\u00e9er des URL de conteneur sur des domaines sans serveur Google Cloud l\u00e9gitimes tels que cloudfunctions[.]net et run.app”, a not\u00e9 Google. “Les URL h\u00e9bergeaient des pages de destination redirigeant les cibles vers une infrastructure malveillante qui a fait tomber Astaroth.”<\/p>\n

En outre, l’acteur de la menace aurait tent\u00e9 de contourner les protections de la passerelle de messagerie en utilisant des services de transfert de courrier qui ne suppriment pas les messages dont le Sender Policy Framework a \u00e9chou\u00e9 (FPS<\/a>) des enregistrements ou l’incorporation de donn\u00e9es inattendues dans le Champ Chemin de retour SMTP<\/a> afin de d\u00e9clencher un d\u00e9lai d’expiration de requ\u00eate DNS et de provoquer l’\u00e9chec des v\u00e9rifications d’authentification des e-mails.<\/p>\n

Le g\u00e9ant de la recherche a d\u00e9clar\u00e9 avoir pris des mesures pour att\u00e9nuer les activit\u00e9s en supprimant les projets malveillants de Google Cloud et en mettant \u00e0 jour son Listes de navigation s\u00e9curis\u00e9e<\/a>.<\/p>\n

L\u2019utilisation d\u2019armes comme arme des services et infrastructures cloud par des acteurs malveillants \u2013 allant de l\u2019extraction illicite de cryptomonnaies \u00e0 cons\u00e9quence<\/a> de configurations faibles<\/a> au ransomware \u2013 a \u00e9t\u00e9 aliment\u00e9<\/a> par l\u2019adoption accrue du cloud dans tous les secteurs.<\/p>\n

De plus, cette approche pr\u00e9sente l\u2019avantage suppl\u00e9mentaire de permettre aux adversaires de se fondre dans les activit\u00e9s normales du r\u00e9seau, ce qui rend la d\u00e9tection beaucoup plus difficile.<\/p>\n

\u00ab Les acteurs malveillants profitent de la flexibilit\u00e9 et de la facilit\u00e9 de d\u00e9ploiement des plateformes sans serveur pour diffuser des logiciels malveillants et h\u00e9berger des pages de phishing \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. \u00ab Les acteurs malveillants qui abusent des services cloud modifient leurs tactiques en r\u00e9ponse aux mesures de d\u00e9tection et d’att\u00e9nuation des d\u00e9fenseurs. \u00bb<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n