I ricercatori di Cisco Talos hanno scoperto che il servizio Google Cloud Run è stato sfruttato per distribuire tre malware (Astaroth, Mekotio e Ousaban) durante vari attacchi principalmente contro bersagli in America Latina (in numero minore anche in Europa e Nord America). L’azienda di Mountain View ha rimosso l’accesso al servizio da parte dei cybercriminali.
Phishing per trojan bancari
Google Cloud Run è un servizio che consente di realizzare e distribuire siti web e applicazioni tramite Google Cloud. I cybercriminali possono sfruttarlo come alternativa gratuita ad un’infrastruttura creata da zero. Gli esperti di Cisco Talos hanno rilevato un incremento delle campagne malware a partire da settembre 2023.
La catena di infezione inizia con l’invio di un’email di phishing che sembra una comunicazione legittima per fatture, documenti finanziari o messaggi dalle agenzie governative. La maggioranza delle email è scritta in spagnolo, ma la seconda lingua più utilizzata è l’italiano.
Nel testo dell’email c’è un link che punta al servizio web ospitato su Google Cloud Run. Viene quindi scaricato un installer MSI o archivio ZIP che contiene un installer MSI. Se avviato, quest’ultimo scarica vari componenti ed esegue i tre malware sul computer.
Astaroth, Mekotio e Ousaban sono trojan bancari che registrano i tasti (keylogging), catturano screenshot e rubano le credenziali di login ai conti corrente e ai wallet di criptovalute. Dopo aver ricevuto la segnalazione da Cisco Talos, Google ha rimosso i link dal servizio e promesso di rafforzare la sicurezza per prevenire simili abusi in futuro.