Los investigadores de seguridad advierten que los piratas informáticos abusan del servicio Google Cloud Run para distribuir volúmenes masivos de troyanos bancarios como Astaroth, Mekotio y Ousaban.
Google Cloud Run permite a los usuarios implementar servicios, sitios web o aplicaciones de frontend y backend, manejar cargas de trabajo sin el esfuerzo de administrar una infraestructura o escalar.
Los investigadores de Cisco Talos observaron un aumento masivo en el uso indebido del servicio de Google para la distribución de malware a partir de septiembre de 2023, cuando los actores brasileños lanzaron campañas utilizando archivos de instalación MSI para implementar cargas útiles de malware.
El informe de los investigadores señala que Google Cloud Run se ha vuelto atractivo para los ciberdelincuentes últimamente debido a su rentabilidad y capacidad para eludir los bloqueos y filtros de seguridad estándar.
Cadena de ataque
Los ataques comienzan con correos electrónicos de phishing a víctimas potenciales, diseñados para aparecer como comunicaciones legítimas de facturas, estados financieros o mensajes del gobierno local y las agencias tributarias.
Los investigadores dicen que la mayoría de los correos electrónicos de la campaña están en español, ya que se dirigen a países de América Latina, pero también hay casos en los que el idioma utilizado es el italiano.
Los correos electrónicos vienen con enlaces que redirigen a servicios web maliciosos alojados en Google Cloud Run.
En algunos casos, la entrega de la carga útil se realiza a través de archivos MSI. En otros ejemplos, el servicio emite una redirección 302 a una ubicación de Google Cloud Storage, donde se almacena un archivo ZIP con un archivo MSI malicioso.
Cuando la víctima ejecuta los archivos MSI maliciosos, se descargan y ejecutan nuevos componentes y cargas útiles en el sistema.
En los casos observados, la entrega de la carga útil de la segunda etapa se realiza abusando de la herramienta legítima de Windows ‘BITSAdmin’.
Por último, el malware establece la persistencia en el sistema de la víctima para sobrevivir a los reinicios añadiendo archivos LNK (‘sysupdates.setup<random_string>.lnk’) en la carpeta Startup, configurados para ejecutar un comando de PowerShell que ejecuta el script de infección (‘AutoIT’).
Detalles del malware
Las campañas que abusan de Google Cloud Run involucran a tres troyanos bancarios: Astaroth/Guildma, Mekotio y Ousaban. Cada uno está diseñado para infiltrarse en los sistemas sigilosamente, establecer persistencia y exfiltrar datos financieros confidenciales que pueden usarse para apoderarse de cuentas bancarias.
Astaroth viene con técnicas avanzadas de evasión. Inicialmente se centró en las víctimas brasileñas, pero ahora se dirige a más de 300 instituciones financieras en 15 países de América Latina. Recientemente, el malware comenzó a recopilar credenciales para servicios de intercambio de criptomonedas.
Empleando el registro de teclas, la captura de pantalla y el monitoreo del portapapeles, Astaroth no solo roba datos confidenciales, sino que también intercepta y manipula el tráfico de Internet para capturar credenciales bancarias.
Mekotio también ha estado activo durante varios años y se enfoca en la región de América Latina.
Es conocido por robar credenciales bancarias, información personal y realizar transacciones fraudulentas. También puede manipular los navegadores web para redirigir a los usuarios a sitios de phishing.
Por último, Ousaban es un troyano bancario capaz de realizar registros de teclas, capturas de pantalla y phishing para obtener credenciales bancarias utilizando portales bancarios falsos (es decir, clonados).
Cisco Talos señala que Ousaban se entrega en una etapa posterior de la cadena de infección de Astraroth, lo que indica una posible colaboración entre los operadores de las dos familias de malware o un solo actor de amenazas que administre ambas.
Nos hemos puesto en contacto con Google para obtener detalles sobre lo que la compañía planea hacer para contrarrestar esta amenaza, y un portavoz envió el siguiente comentario:
Agradecemos el trabajo del investigador al identificar y denunciar el uso de Cloud Run para dirigir a los usuarios a contenido malicioso.
Hemos eliminado los enlaces ofensivos y estamos estudiando la posibilidad de reforzar nuestros esfuerzos de mitigación para ayudar a prevenir este tipo de actividad nefasta.
Actualización 2/22 – Añadido comentario de Google
Fuente: BleepingComputer |