23.02.2024 | Темное облако над вашим кошельком: банковские трояны выбирают Google Cloud Run |
Аналитики предупреждают: в последнее время хакеры стали часто злоупотреблять сервисом Google Cloud Run для массового распространения банковских троянов, таких как Astaroth, Mekotio и Ousaban. Google Cloud Run позволяет пользователям развертывать фронтенд и бэкенд сервисы, веб-сайты или приложения, обрабатывать нагрузки. При этом нет необходимости управлять инфраструктурой и масштабированием. Исследователи из Cisco Talos заметили резкий рост использования сервиса Google злоумышленниками для распространения вредоносного ПО начиная с сентября 2023 года. Тогда бразильские хакеры запустили кампании по рассылке MSI-установщиков для доставки вредоносных полезных нагрузок. По мнению экспертов, Google Cloud Run стал привлекательной платформой для киберпреступников благодаря экономической эффективности и возможности обхода стандартных средств защиты. Механизм атак Атаки начинаются с рассылки фишинговых писем потенциальным жертвам. Письма продуманы очень тщательно: они ничем не отличаются от официальных банковских чеков, финансовых отчетов и уведомлений от государственных органов. По словам исследователей, большинство писем на испанском языке, поскольку они нацелены на Латинскую Америку. Но встречаются и на итальянском. Письма содержат ссылки, которые перенаправляют жертв на вредоносные веб-сервисы, размещенные на Google Cloud Run. В некоторых случаях доставка зловредных программ происходит через MSI-файлы. В других случаях сервис выдает 302-редирект на облачное хранилище Google Cloud Storage, где размещен ZIP-архив с вредоносным MSI. При запуске MSI-файлов происходит загрузка и установка новых компонентов трояна. Доставка второй стадии осуществляется с помощью легитимного инструмента Windows BITSAdmin. Наконец, программа устанавливает постоянное присутствие в системе жертвы, добавляя файлы LNK в папку автозагрузки. Они настроены на запуск команды PowerShell, которая выполняет вредоносный скрипт. Детали вредоносных программ В кампаниях фигурируют три банковских трояна: Astaroth/Guildma, Mekotio и Ousaban. Каждый предназначен для скрытного взлома систем, установки постоянного присутствия и кражи конфиденциальных сведений для проникновения в банковские счета жертв. Astaroth использует передовые методы уклонения от обнаружения. Изначально он был нацелен на Бразилию, а теперь атакует более 300 финансовых организаций в 15 странах Латинской Америки. В последнее время троян начал собирать данные для доступа к сервисам обмена криптовалютой. Применяя перехват клавиш, захват экрана и буфера обмена, Astaroth не только ворует конфиденциальные данные, но и отслеживает интернет-трафик для кражи логинов и паролей в банковских аккаунтах. Mekotio тоже активен уже несколько лет и нацелен на Латинскую Америку. Он взламывает банковские учетные записи, а также осуществляет незаконные транзакции. Этот вредонос часто использует фишинговые ссылки для обмана пользователей. Троян Ousaban также применяет фишинг и взламывает счета с помощью поддельных банковских порталов. Cisco Talos отмечает, что Ousaban доставляется на более поздней стадии атаки Astaroth. А значит, операторы этих программ могут связаны или это вовсе один и тот же человек. Представители Google поблагодарили исследователей за их работу и пообещали усилить меры безопасности: «Мы удалили подозрительные ссылки и изучаем варианты усиления защиты, чтобы предотвратить подобную злонамеренную активность в будущем». |
Проверить безопасность сайта