Uma pesquisa recente revela que o Google Cloud Run, plataforma de computação que permite aos clientes criar e implantar serviços da web localizados no Google Cloud, vem sendo usado em campanhas de distribuição de alto volume de malware, espalhando vários trojans bancários (cavalos de Troia), como o Astaroth — também conhecido como Guildma —, Mekotio e Ousaban, tendo como alvos empresas na América Latina e na Europa. De acordo com a Cisco Talos, a maioria dos sistemas que enviam essas mensagens estavam localizados no Brasil.
A Cisco Talos observou um aumento significativo no volume de e-mails maliciosos aproveitando o Google Cloud Run desde setembro de 2023. A maioria desses e-mails é disfarçada para parecer estar relacionada a faturas ou documentos financeiros/fiscais aparentemente enviados pela agência fiscal do governo local no país-alvo. Os e-mails contêm links maliciosos que, uma vez abertos, permitem a entrega dos componentes necessários para iniciar o processo de infecção. Um dos trojans bancários associados a estas campanhas teve como alvo mais de 300 instituições em apenas 15 países da América Latina.
Quando os aplicativos são implantados no Google Cloud Run, os administradores recebem painéis com informações detalhadas sobre as solicitações atendidas por esses aplicativos da web, métricas de desempenho, configuração de balanceamento de carga e gráficos semelhantes ao que seria de esperar do painel administrativo para muitos sistemas de distribuição de tráfego (TDS) comumente usado por distribuidores de malware. Eles também oferecem uma interface de programação de aplicativos (API) que permite a rápida implantação automatizada de serviços da web.
Com base nessas características, os hackers descobriram no Google Cloud Run uma maneira barata, mas eficaz, de implantar infraestrutura distribuída em plataformas cuja maioria das organizações provavelmente não impede o acesso dos sistemas internos. Ele também permite a rotação rápida de novos aplicativos da web do Google Cloud Run à medida que são removidos pelo provedor da plataforma depois que o usuário os denunciam. A Cisco Talos entrou em contato com o Google para garantir que eles estivessem cientes da atividade observada recentemente em todo o cenário de ameaças.
Veja isso
Brasil segue na lista de países mais alvejados por hackers
Brasil lidera invasões por malware infostealer, aponta relatório
Os pesquisadores da Cisco Talos disseram que embora tenham observado o uso de URLs do Google Cloud Run incluídos em e-mails há algum tempo, a grande maioria do volume total foi rastreada nos últimos 18 meses, ou seja, desde setembro de 2023. Eles também verificaram, a partir da distribuição linguística dos e-mails, as campanhas de e-mails maliciosos tinham como foco a América Latina, com a esmagadora maioria dos e-mails sendo enviados em espanhol. A atividade de menor volume também parece ter como alvo as vítimas de língua italiana, conforme mostrado abaixo.
A equipe da Cisco Talos observou ainda que a maioria dos sistemas que enviam as mensagens de e-mails maliciosos estavam localizados no Brasil. Na maioria dos casos, esses e-mails são enviados utilizando temas relacionados com faturas ou documentos financeiros e fiscais e, por vezes, fingem ser enviados pela agência fiscal do governo local do país visado.
Os e-mails contêm hiperlinks para o Google Cloud Run, que podem ser identificados devido ao uso de run[.]app como domínio de nível superior (TLD). Quando a vítima acessa esse hiperlink, ela é redirecionada para os serviços web Cloud Run implantados pelos operadores da ameaça e recebe os componentes necessários para iniciar o processo de infecção. Os pesquisadores observaram o Astaroth e o Mekotio sendo distribuídos dessa maneira na forma de arquivos maliciosos do Microsoft Installers (MSI) como carga útil do estágio 1 para iniciar o processo de infecção.
Foram observadas duas variações recentes na forma como os arquivos MSI estão sendo entregues. Em muitos casos, o arquivo MSI é entregue diretamente do serviço web Google Cloud Run implantado pelo hacker, como mostrado no caso do Mekotio abaixo.
Durante a análise, os pesquisadores da Cisco Talos verificaram a existência de casos em que o mesmo Google Cloud Storage Bucket estava sendo usado para entregar cargas do Mekotio e Astaroth, ao mesmo tempo. Também observaram o Ousaban sendo entregue como parte de um estágio posterior da mesma cadeia de infecção do Astaroth. “Como isso significa que o mesmo projeto do Google Cloud estava sendo usado para distribuir ambas as famílias de malware e com base nas sobreposições nos TTPs de distribuição, avaliamos com moderada confiança que as campanhas de distribuição estão vinculadas ao mesmo operador de ameaça”, disseram os pesquisadores.
O Mekotio é um trojan bancário que historicamente tem como alvo vítimas latino-americanas, exfiltrando informações financeiras confidenciais de sistemas infectados. Ao contrário do Astaroth, que incorpora JavaScript no MSI, no Mekioto os MSIs contêm arquivos DLL maliciosos que são incluídos como fluxos binários no próprio arquivo do instalador. Eles também incluem um arquivo CAB que contém duas dependências de DLL e um arquivo de texto.
A pesquisa completa pode ser acessada pelo link (em inglês).