Brasil é a principal fonte de envio de Cavalos de Troia bancários

O Google Cloud Run está sendo abusado em campanhas de distribuição de malware de alto volume, espalhando vários trojans bancários para alvos na América Latina e na Europa. O volume de e-mails associados a estas campanhas aumentou significativamente desde setembro de 2023

Compartilhar:

A Cisco Talos publicou uma pesquisa sobre o uso de um serviço do Google em campanhas de distribuição de malware de alto volume, espalhando vários trojans bancários – Astaroth (também conhecido como Guildma), Mekotio e Ousaban –  para alvos na América Latina e na Europa. A maioria dos sistemas que enviam estas mensagens estavam localizados no Brasil.

 

A Talos observou um aumento significativo no volume de e-mails maliciosos aproveitando o Google Cloud Run desde setembro de 2023. A maioria desses e-mails é disfarçada para parecer estar relacionada a faturas ou documentos financeiros/fiscais aparentemente enviados pela agência fiscal do governo local no país-alvo. Os e-mails contêm links maliciosos que, uma vez abertos, permitem a entrega dos componentes necessários para iniciar o processo de infecção.

 

Também foi possível observar um menor volume de vítimas de campanha localizadas em toda a Europa e América do Norte, o que pode indicar um direcionamento menos focado geograficamente por parte dos atores da ameaça no futuro. A variante atual do Astaroth tem como alvo mais de 300 instituições em 15 países latino-americanos.

 

Além disso, todas as três famílias de malware foram entregues durante o mesmo período a partir do mesmo intervalo de armazenamento no Google Cloud. No caso de Ousaban, a carga estava sendo entregue como parte da mesma infecção de Astaroth mencionada anteriormente. Isso, combinado com a sobreposição de TTPs de distribuição, pode indicar colaboração ou links entre os atores da ameaça por trás das campanhas de distribuição para as famílias de malware, algo que foi mencionado anteriormente em um artigo do VirusBulletin.

 

O que é o Google Cloud Run?

 

O Google Cloud Run é um serviço fornecido pelo Google que permite aos clientes criar e implantar serviços da Web localizados no Google Cloud. Atualmente, eles oferecem US$ 300 em créditos gratuitos para novas contas do Google e dois milhões de solicitações gratuitas na web por mês.

 

Quando os aplicativos são implantados no Google Cloud Run, os administradores recebem painéis com informações detalhadas sobre as solicitações atendidas por esses aplicativos da Web, métricas de desempenho, configuração de balanceamento de carga e gráficos semelhantes ao que seria de esperar do painel administrativo para muitos sistemas de distribuição de tráfego ( TDS) comumente usado por distribuidores de malware. Eles também oferecem uma interface de programação de aplicativos (API) que permite a rápida implantação automatizada de serviços da web.

 

Com base nessas características, os adversários podem ver o Google Cloud Run como uma maneira barata, mas eficaz, de implantar infraestrutura de distribuição em plataformas que a maioria das organizações provavelmente não impede o acesso dos sistemas internos. Ele também permite a rotação rápida de novos aplicativos da web do Google Cloud Run à medida que são removidos pelo provedor da plataforma depois que os usuários os denunciam por abuso. A Cisco Talos entrou em contato com o Google para garantir que eles estivessem cientes da atividade observada recentemente em todo o cenário de ameaças.

Conteúdos Relacionados

Security Report | Overview

NFL forma parceria para segurança de redes em jogos internacionais

Com a expansão da parceria com a Cisco, as crescentes operações internacionais da NFL vão aproveitar soluções em todo o...
Security Report | Overview

Cibersegurança nas eleições: O Brasil está pronto para uma onda de ataques DDoS?

Relatório da Akamai Technologies mostra como ataques DDoS crescem ao redor do mundo e colocam em risco instituições democráticas
Security Report | Overview

Quase duas mil instituições de ensino sofrem ataques cibernéticos por ano no Brasil

Relatório da Verizon aponta que o setor de Educação é muito visado por criminosos cibernéticos e especialista aponta o que...
Security Report | Overview

Laboratório detecta novas vulnerabilidades em sistemas WordPress, Cisco e Google

O relatório da consultoria Redbelt também revelou uma falha no ChatGPT para macOS, que pode ter permitido espionagem persistente. A...