Desde septiembre de 2023, hemos observado un aumento significativo en el volumen de correos electrónicos maliciosos que aprovechan el servicio Google Cloud Run para infectar a posibles víctimas con troyanos bancarios. Algunas de las campañas de mayor volumen observadas recientemente se estaban utilizando para entregar los troyanos bancarios Astaroth , Mekotio y Ousaban a víctimas ubicadas principalmente en países latinoamericanos.
Además, hemos observado que las tres familias de malware se entregan durante el mismo período de tiempo desde el mismo depósito de almacenamiento dentro de Google Cloud. En el caso de Ousaban, la carga útil se entregaba como parte de la misma infección de Astaroth mencionada anteriormente. Esto, combinado con la superposición de TTP de distribución, puede indicar colaboración o vínculos entre los actores de amenazas detrás de las campañas de distribución de las familias de malware.
¿Qué es Google Cloud Run?
Google Cloud Run es un servicio proporcionado por Google que permite a los clientes crear e implementar servicios web ubicados en Google Cloud. Actualmente ofrecen 300 dólares en créditos gratuitos para nuevas cuentas de Google y dos millones de solicitudes web gratuitas al mes.
Cuando las aplicaciones se implementan en Google Cloud Run, los administradores reciben paneles con información detallada sobre las solicitudes atendidas por esas aplicaciones web, métricas de rendimiento, configuración de equilibrio de carga y gráficos similares a lo que uno esperaría del panel administrativo de muchos sistemas de distribución de tráfico ( TDS) comúnmente utilizado por distribuidores de malware. También ofrecen una interfaz de programación de aplicaciones (API) que permite la rápida implementación automatizada de servicios web.
Según estas características, los adversarios pueden ver Google Cloud Run como una forma económica pero eficaz de implementar infraestructura de distribución en plataformas a las que la mayoría de las organizaciones probablemente no impiden el acceso de los sistemas internos.
Campañas de correo electrónico
La distribución de idiomas de los correos electrónicos observada en estas campañas también demuestra un fuerte enfoque en LATAM, con la abrumadora mayoría de los correos electrónicos enviados en español.
En la mayoría de los casos, estos correos electrónicos se envían utilizando temas relacionados con facturas o documentos financieros y fiscales y, a veces, se hacen pasar por enviados desde la agencia tributaria del gobierno local del país objetivo.
Cuando las víctimas acceden a estos hipervínculos, son redirigidas a los servicios web Cloud Run implementados por los actores de la amenaza y se les entregan los componentes necesarios para iniciar el proceso de infección. Como se indicó anteriormente, hemos observado que Astaroth y Mekotio se distribuyen de esta manera en forma de archivos maliciosos de Microsoft Installers (MSI) como carga útil de la Etapa 1 para comenzar el proceso de infección.
Hemos observado dos variaciones recientes en la forma en que se entregan los archivos MSI. En muchos casos, el archivo MSI se entrega directamente desde el servicio web Google Cloud Run implementado por el adversario, como se muestra en el caso de Mekotio a continuación.
Astaroth también implementa código para monitorear la ventana de primer plano para detectar la presencia de navegadores populares. Una vez identificado uno, comprobará el título de la ventana para ver si uno de los bancos de su lista de seguimiento está abierto.
Si un banco de destino está abierto, el malware es capaz de registrar las pulsaciones de teclas y tomar capturas de pantalla de la pantalla alrededor del puntero del mouse cuando el usuario hace clic en la pantalla. Esto se hace para capturar los clics en los teclados virtuales utilizados por muchos bancos latinoamericanos como medida de seguridad contra los keyloggers.
El malware también es configurable para los países y las instituciones financieras a las que se dirige. La variante actual está dirigida a más de 300 instituciones en 15 países latinoamericanos, con presencia también en Bolivia, que aunque sea poca en comparación a otros países de la región, afecta a gran cantidad de usuarios de banca en línea o banca móvil.
Fuente: Observatorio de Delitos Informáticos
No hay comentarios.:
Publicar un comentario