Los investigadores de seguridad advierten sobre piratas informáticos que abusan del servicio Google Cloud Run para distribuir volúmenes masivos de troyanos bancarios como Astaroth, Mekotio y Ousaban.
Google Cloud Run permite a los usuarios implementar servicios, sitios web o aplicaciones frontend y backend, manejar cargas de trabajo sin el esfuerzo de administrar una infraestructura o escalar.
Los investigadores de Cisco Talos observaron un aumento masivo en el uso indebido del servicio de Google para la distribución de malware a partir de septiembre de 2023, cuando actores brasileños lanzaron campañas utilizando archivos de instalación MSI para implementar cargas útiles de malware.
El informe de los investigadores señala que Google Cloud Run se ha vuelto atractivo para los ciberdelincuentes últimamente debido a su rentabilidad y su capacidad para eludir los filtros y bloqueos de seguridad estándar.
Cadena de Ataque
Los ataques comienzan con correos electrónicos de phishing dirigidos a víctimas potenciales, diseñados para que parezcan comunicaciones legítimas de facturas, estados financieros o mensajes de gobiernos locales y agencias tributarias.
Los investigadores dicen que la mayoría de los correos electrónicos de la campaña están en español ya que se dirigen a países de América Latina, pero también hay casos en los que el idioma utilizado es el italiano.
Los correos electrónicos incluyen enlaces que redirigen a servicios web maliciosos alojados en Google Cloud Run.
En algunos casos, la entrega de la carga útil se realiza mediante archivos MSI. En otros ejemplos, el servicio emite una redirección 302 a una ubicación de Google Cloud Storage, donde se almacena un archivo ZIP con un archivo MSI malicioso.
Cuando la víctima ejecuta los archivos MSI maliciosos, se descargan y ejecutan nuevos componentes y cargas útiles en el sistema.
En los casos observados, la entrega de la carga útil de la segunda etapa se realiza abusando de la herramienta legítima de Windows ‘BITSAdmin’.
Finalmente, el malware establece persistencia en el sistema de la víctima para sobrevivir a los reinicios agregando archivos LNK (‘sysupdates.setup.lnk’) en la carpeta Inicio, configurados para ejecutar un comando de PowerShell que ejecuta el script de infección (‘AutoIT’).
Detalles de Malware
Las campañas que abusan de Google Cloud Run involucran a tres troyanos bancarios: Astaroth/Guildma, Mekotio y Ousaban. Cada uno está diseñado para infiltrarse sigilosamente en los sistemas, establecer persistencia y extraer datos financieros confidenciales que pueden usarse para hacerse cargo de cuentas bancarias.
Astaroth viene con técnicas de evasión avanzadas. Inicialmente se centró en las víctimas brasileñas, pero ahora apunta a más de 300 instituciones financieras en 15 países de América Latina. Recientemente, el malware comenzó a recopilar credenciales para servicios de intercambio de criptomonedas.
Al emplear registro de teclas, captura de pantalla y monitoreo del portapapeles, Astaroth no solo roba datos confidenciales sino que también intercepta y manipula el tráfico de Internet para capturar credenciales bancarias.
Mekotio también ha estado activo durante varios años y se centra en la región de América Latina.
Es conocido por robar credenciales bancarias, información personal y realizar transacciones fraudulentas. También puede manipular los navegadores web para redirigir a los usuarios a sitios de phishing.
Finalmente, Ousaban es un troyano bancario capaz de registrar teclas, realizar capturas de pantalla y realizar phishing para obtener credenciales bancarias utilizando portales bancarios falsos (es decir, clonados).
Cisco Talos señala que Ousaban se entrega en una etapa posterior de la cadena de infección de Astaroth, lo que indica una posible colaboración entre los operadores de las dos familias de malware o un único actor de amenazas que gestiona ambas.