Brasil é a principal fonte de envio de Cavalos de Troia bancários

O Google Cloud Run está sendo abusado em campanhas de distribuição de malware de alto volume, espalhando vários trojans bancários para alvos na América Latina e na Europa. O volume de e-mails associados a estas campanhas aumentou significativamente desde setembro de 2023

Compartilhar:

A Cisco Talos publicou uma pesquisa sobre o uso de um serviço do Google em campanhas de distribuição de malware de alto volume, espalhando vários trojans bancários – Astaroth (também conhecido como Guildma), Mekotio e Ousaban –  para alvos na América Latina e na Europa. A maioria dos sistemas que enviam estas mensagens estavam localizados no Brasil.

 

A Talos observou um aumento significativo no volume de e-mails maliciosos aproveitando o Google Cloud Run desde setembro de 2023. A maioria desses e-mails é disfarçada para parecer estar relacionada a faturas ou documentos financeiros/fiscais aparentemente enviados pela agência fiscal do governo local no país-alvo. Os e-mails contêm links maliciosos que, uma vez abertos, permitem a entrega dos componentes necessários para iniciar o processo de infecção.

 

Também foi possível observar um menor volume de vítimas de campanha localizadas em toda a Europa e América do Norte, o que pode indicar um direcionamento menos focado geograficamente por parte dos atores da ameaça no futuro. A variante atual do Astaroth tem como alvo mais de 300 instituições em 15 países latino-americanos.

 

Além disso, todas as três famílias de malware foram entregues durante o mesmo período a partir do mesmo intervalo de armazenamento no Google Cloud. No caso de Ousaban, a carga estava sendo entregue como parte da mesma infecção de Astaroth mencionada anteriormente. Isso, combinado com a sobreposição de TTPs de distribuição, pode indicar colaboração ou links entre os atores da ameaça por trás das campanhas de distribuição para as famílias de malware, algo que foi mencionado anteriormente em um artigo do VirusBulletin.

 

O que é o Google Cloud Run?

 

O Google Cloud Run é um serviço fornecido pelo Google que permite aos clientes criar e implantar serviços da Web localizados no Google Cloud. Atualmente, eles oferecem US$ 300 em créditos gratuitos para novas contas do Google e dois milhões de solicitações gratuitas na web por mês.

 

Quando os aplicativos são implantados no Google Cloud Run, os administradores recebem painéis com informações detalhadas sobre as solicitações atendidas por esses aplicativos da Web, métricas de desempenho, configuração de balanceamento de carga e gráficos semelhantes ao que seria de esperar do painel administrativo para muitos sistemas de distribuição de tráfego ( TDS) comumente usado por distribuidores de malware. Eles também oferecem uma interface de programação de aplicativos (API) que permite a rápida implantação automatizada de serviços da web.

 

Com base nessas características, os adversários podem ver o Google Cloud Run como uma maneira barata, mas eficaz, de implantar infraestrutura de distribuição em plataformas que a maioria das organizações provavelmente não impede o acesso dos sistemas internos. Ele também permite a rotação rápida de novos aplicativos da web do Google Cloud Run à medida que são removidos pelo provedor da plataforma depois que os usuários os denunciam por abuso. A Cisco Talos entrou em contato com o Google para garantir que eles estivessem cientes da atividade observada recentemente em todo o cenário de ameaças.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Segurança em malha híbrida pode gerar salto de 314% no ROI, aponta análise

Estudo da IDC, apoiado pela Check Point Software, revela que arquiteturas integradas reduzem a indisponibilidade operacional em 66% e os...
Security Report | Overview

Pesquisa aponta SI como principal fator de confiança para a escala da IA Industrial

Novo estudo da Cisco revela que 49% das indústrias brasileiras veem a Segurança como o maior obstáculo para expandir a...
Security Report | Overview

Fraudes com IA reforçam atenção corporativa aos riscos de Cyber, dizem especialistas

hishing direcionado, roubo de credenciais, invasões a sistemas fiscais, ransomware e fraudes tributárias digitais seguem entre os vetores mais recorrentes....
Security Report | Overview

O Custo do Ransomware: por que pagar resgate se tornou risco jurídico em 2026?

Pagar o resgate não garante necessariamente a recuperação dos dados ou o fim do problema. Muitas organizações recorrem a backups para restaurar seus sistemas, mesmo após negociações com os criminosos