Удобное веб-хранилище – большие финансовые потери.
Аналитики предупреждают: в последнее время хакеры стали часто злоупотреблять сервисом Google Cloud Run для массового распространения банковских троянов, таких как Astaroth, Mekotio и Ousaban.
Google Cloud Run позволяет пользователям развертывать фронтенд и бэкенд сервисы, веб-сайты или приложения, обрабатывать нагрузки. При этом нет необходимости управлять инфраструктурой и масштабированием.
Исследователи из Cisco Talos заметили резкий рост использования сервиса Google злоумышленниками для распространения вредоносного ПО начиная с сентября 2023 года. Тогда бразильские хакеры запустили кампании по рассылке MSI-установщиков для доставки вредоносных полезных нагрузок.
По мнению экспертов, Google Cloud Run стал привлекательной платформой для киберпреступников благодаря экономической эффективности и возможности обхода стандартных средств защиты.
Механизм атак
Атаки начинаются с рассылки фишинговых писем потенциальным жертвам. Письма продуманы очень тщательно: они ничем не отличаются от официальных банковских чеков, финансовых отчетов и уведомлений от государственных органов.
По словам исследователей, большинство писем на испанском языке, поскольку они нацелены на Латинскую Америку. Но встречаются и на итальянском. Письма содержат ссылки, которые перенаправляют жертв на вредоносные веб-сервисы, размещенные на Google Cloud Run.
В некоторых случаях доставка зловредных программ происходит через MSI-файлы. В других случаях сервис выдает 302-редирект на облачное хранилище Google Cloud Storage, где размещен ZIP-архив с вредоносным MSI.
При запуске MSI-файлов происходит загрузка и установка новых компонентов трояна. Доставка второй стадии осуществляется с помощью легитимного инструмента Windows BITSAdmin.
Наконец, программа устанавливает постоянное присутствие в системе жертвы, добавляя файлы LNK в папку автозагрузки. Они настроены на запуск команды PowerShell, которая выполняет вредоносный скрипт.
Детали вредоносных программ
В кампаниях фигурируют три банковских трояна: Astaroth/Guildma, Mekotio и Ousaban. Каждый предназначен для скрытного взлома систем, установки постоянного присутствия и кражи конфиденциальных сведений для проникновения в банковские счета жертв.
Astaroth использует передовые методы уклонения от обнаружения. Изначально он был нацелен на Бразилию, а теперь атакует более 300 финансовых организаций в 15 странах Латинской Америки. В последнее время троян начал собирать данные для доступа к сервисам обмена криптовалютой.
Применяя перехват клавиш, захват экрана и буфера обмена, Astaroth не только ворует конфиденциальные данные, но и отслеживает интернет-трафик для кражи логинов и паролей в банковских аккаунтах.
Mekotio тоже активен уже несколько лет и нацелен на Латинскую Америку. Он взламывает банковские учетные записи, а также осуществляет незаконные транзакции. Этот вредонос часто использует фишинговые ссылки для обмана пользователей.
Троян Ousaban также применяет фишинг и взламывает счета с помощью поддельных банковских порталов. Cisco Talos отмечает, что Ousaban доставляется на более поздней стадии атаки Astaroth. А значит, операторы этих программ могут связаны или это вовсе один и тот же человек.
Представители Google поблагодарили исследователей за их работу и пообещали усилить меры безопасности: «Мы удалили подозрительные ссылки и изучаем варианты усиления защиты, чтобы предотвратить подобную злонамеренную активность в будущем».
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://blog.talosintelligence.com/google-cloud-run-abuse/</pre>