A Cisco Talos publicou uma pesquisa sobre o uso de um serviço do Google em campanhas de distribuição de malware de alto volume, espalhando vários trojans bancários – Astaroth (também conhecido como Guildma), Mekotio e Ousaban – para alvos na América Latina e na Europa. A maioria dos sistemas que enviam estas mensagens estavam localizados no Brasil.
A Talos observou um aumento significativo no volume de e-mails maliciosos aproveitando o Google Cloud Run desde setembro de 2023. A maioria desses e-mails é disfarçada para parecer estar relacionada a faturas ou documentos financeiros/fiscais aparentemente enviados pela agência fiscal do governo local no país-alvo. Os e-mails contêm links maliciosos que, uma vez abertos, permitem a entrega dos componentes necessários para iniciar o processo de infecção.
Também foi possível observar um menor volume de vítimas de campanha localizadas em toda a Europa e América do Norte, o que pode indicar um direcionamento menos focado geograficamente por parte dos atores da ameaça no futuro. A variante atual do Astaroth tem como alvo mais de 300 instituições em 15 países latino-americanos.
Além disso, todas as três famílias de malware foram entregues durante o mesmo período a partir do mesmo intervalo de armazenamento no Google Cloud. No caso de Ousaban, a carga estava sendo entregue como parte da mesma infecção de Astaroth mencionada anteriormente. Isso, combinado com a sobreposição de TTPs de distribuição, pode indicar colaboração ou links entre os atores da ameaça por trás das campanhas de distribuição para as famílias de malware, algo que foi mencionado anteriormente em um artigo do VirusBulletin.
O que é o Google Cloud Run?
O Google Cloud Run é um serviço fornecido pelo Google que permite aos clientes criar e implantar serviços da Web localizados no Google Cloud. Atualmente, eles oferecem US$ 300 em créditos gratuitos para novas contas do Google e dois milhões de solicitações gratuitas na web por mês.
Quando os aplicativos são implantados no Google Cloud Run, os administradores recebem painéis com informações detalhadas sobre as solicitações atendidas por esses aplicativos da Web, métricas de desempenho, configuração de balanceamento de carga e gráficos semelhantes ao que seria de esperar do painel administrativo para muitos sistemas de distribuição de tráfego ( TDS) comumente usado por distribuidores de malware. Eles também oferecem uma interface de programação de aplicativos (API) que permite a rápida implantação automatizada de serviços da web.
Com base nessas características, os adversários podem ver o Google Cloud Run como uma maneira barata, mas eficaz, de implantar infraestrutura de distribuição em plataformas que a maioria das organizações provavelmente não impede o acesso dos sistemas internos. Ele também permite a rotação rápida de novos aplicativos da web do Google Cloud Run à medida que são removidos pelo provedor da plataforma depois que os usuários os denunciam por abuso. A Cisco Talos entrou em contato com o Google para garantir que eles estivessem cientes da atividade observada recentemente em todo o cenário de ameaças.