Les chercheurs en sécurité mettent en garde contre les pirates informatiques qui abusent du service Google Cloud Run pour distribuer d’énormes volumes de chevaux de Troie bancaires comme Astaroth, Mekotio et Ousaban.
Google Cloud Run permet aux utilisateurs de déployer des services frontend et backend, des sites Web ou des applications, de gérer des charges de travail sans effort de gestion d’une infrastructure ou de mise à l’échelle.
Les chercheurs de Cisco Talos ont observé une augmentation massive de l’utilisation abusive du service de Google pour la distribution de logiciels malveillants à partir de septembre 2023, lorsque des acteurs brésiliens ont lancé des campagnes utilisant des fichiers d’installation MSI pour déployer des charges utiles de logiciels malveillants.
Le rapport des chercheurs note que Google Cloud Run est récemment devenu attrayant pour les cybercriminels en raison de sa rentabilité et de sa capacité à contourner les blocs et filtres de sécurité standard.
Chaîne d’attaque
Les attaques commencent par des e-mails de phishing adressés à des victimes potentielles, conçus pour apparaître comme des communications légitimes pour des factures, des états financiers ou des messages du gouvernement local et des agences fiscales.
Les chercheurs disent que la plupart des courriels de la campagne sont en espagnol car ils ciblent des pays d’Amérique latine, mais il y a aussi des cas où la langue utilisée est l’italien.
Les e-mails sont accompagnés de liens qui redirigent vers des services Web malveillants hébergés sur Google Cloud Run.
Dans certains cas, la livraison de la charge utile se fait via des fichiers MSI. Dans d’autres exemples, le service émet une redirection 302 vers un emplacement de stockage Google Cloud, où une archive ZIP contenant un fichier MSI malveillant est stockée.
Lorsque la victime exécute les fichiers MSI malveillants, de nouveaux composants et charges utiles sont téléchargés et exécutés sur le système.
Dans les cas observés, la livraison de la charge utile de la deuxième étape se fait en abusant de l’outil Windows légitime ‘BITSAdmin.’
Enfin, le logiciel malveillant établit une persistance sur le système de la victime pour survivre aux redémarrages en ajoutant des fichiers LNK ‘ ‘ sysupdates.configurez.lnk’) dans le dossier de démarrage, configuré pour exécuter une commande PowerShell qui exécute le script d’infection ‘ ‘AutoIt’’.
Détails du malware
Les campagnes utilisant Google Cloud Run impliquent trois chevaux de Troie bancaires: Astaroth / Guildmage, Makoto et Ouabain. Chacun est conçu pour infiltrer furtivement les systèmes, établir la persistance et exfiltrer les données financières sensibles qui peuvent être utilisées pour prendre le contrôle des comptes bancaires.
Astaroth est livré avec des techniques d’évasion avancées. Initialement axé sur les victimes brésiliennes, il cible désormais plus de 300 institutions financières dans 15 pays d’Amérique latine. Récemment, le logiciel malveillant a commencé à collecter des informations d’identification pour les services d’échange de crypto-monnaie.
En utilisant l’enregistrement de frappe, la capture d’écran et la surveillance du presse-papiers, Astaroth vole non seulement des données sensibles, mais intercepte et manipule également le trafic Internet pour capturer les informations d’identification bancaires.
Makoto est également actif depuis plusieurs années et se concentre sur la région de l’Amérique latine.
Il est connu pour voler des informations d’identification bancaires, des informations personnelles et effectuer des transactions frauduleuses. Il peut également manipuler les navigateurs Web pour rediriger les utilisateurs vers des sites de phishing.
Enfin, Ouabain est un cheval de Troie bancaire capable d’enregistrer des frappes, de capturer des captures d’écran et d’hameçonner des informations d’identification bancaires à l’aide de faux portails bancaires (c’est-à-dire clonés).
Cisco Talos note qu’Ousaban est livré à un stade ultérieur de la chaîne d’infection Astaroth, indiquant une collaboration potentielle entre les opérateurs des deux familles de logiciels malveillants ou un seul acteur de la menace gérant les deux.
Nous avons contacté Google pour obtenir des détails sur ce que l’entreprise envisage de faire pour contrer cette menace, mais nous n’avons pas eu de nouvelles au moment de la publication.