Hacker abusano di Google Cloud Run distribuire trojan bancari

I ricercatori di Cisco Talos hanno scoperto una campagna per distribuire enormi volumi di trojan bancari, come Astaroth, Mekotio e Ousaban, sfruttando Google Cloud Run. Questa piattaforma consente agli utenti di distribuire servizi frontend e backend, siti web o applicazioni e gestire workload senza lo sforzo di gestire un'infrastruttura o ridimensionamento. Cisco Talos ha osservato un massiccio aumento nell'uso improprio del servizio di Google per la distribuzione di malware a partire da settembre 2023. Alcuni hacker brasiliani avevano infatti lanciato campagne utilizzando file di installazione MSI per distribuire payload di malware. Il report dei ricercatori ha rivelato che, ultimamente, Google Cloud Run è stato preso di mira dai criminali informatici. Ciò è spiegabile grazie alla sua convenienza e alla capacità di aggirare blocchi e filtri di sicurezza standard.

Google Cloud Run: come funziona l’attacco dei malware coinvolti

Gli attacchi iniziano con e-mail di phishing indirizzate a potenziali vittime. Questo sono create per apparire come comunicazioni legittime per fatture, rendiconti finanziari o messaggi del governo locale e delle agenzie fiscali. I ricercatori affermano che la maggior parte delle e-mail della campagna sono in spagnolo poiché sono destinate ai paesi dell'America Latina, ma ci sono anche casi in cui la lingua utilizzata è l'italiano. Le e-mail contengono link che reindirizzano a servizi web dannosi ospitati su Google Cloud Run. In alcuni casi, la consegna del payload avviene tramite file MSI. In altri esempi, il servizio invia un reindirizzamento 302 a una posizione di Google Cloud Storage, dove è archiviato un file ZIP con un MSI dannoso. Quando la vittima esegue tali file, nuovi componenti e payload vengono scaricati ed eseguiti sul sistema.

Nei casi osservati, la consegna del payload della seconda fase viene effettuata abusando dello strumento legittimo di Windows "BITSAdmin". Infine, il malware stabilisce la persistenza sul sistema della vittima per sopravvivere ai riavvii aggiungendo file LNK ('sysupdates.setup<random_string>.lnk') nella cartella Esecuzione automatica, configurati per eseguire un comando PowerShell che esegue lo script di infezione ('AutoIT') . Le campagne coinvolgono tre trojan bancari: Astaroth/Guildma, Mekotio e Ousaban. Ciascuno è progettato per infiltrarsi furtivamente nei sistemi ed esfiltrare dati finanziari sensibili che possono essere utilizzati per impossessarsi di conti bancari. Cisco Talos ha rilevato che Ousaban è stato consegnato in una fase successiva della catena di infezione di Astaroth. Ciò indica una potenziale collaborazione tra gli operatori delle due famiglie di malware o un singolo attore che gestisce entrambe. Per proteggersi dai rischi, è consigliato non scaricare file o cliccare su link di e-mail sospette e munirsi di un buon antivirus.