黑客近期频繁滥用Google Cloud Run 服务传播银行木马

阅读量69352

发布时间 : 2024-02-23 10:30:42

分析师警告称,黑客最近开始频繁滥用Google Cloud Run 服务,大规模传播 Astaroth、Mekotio 和 Ousaban 等银行木马。

Google Cloud Run允许用户部署前端和后端服务、网站或应用程序以及处理负载。无需管理基础设施和扩展。

思科 Talos 的研究人员 注意到,从 2023 年 9 月开始,攻击者使用 Google 服务传播恶意软件的情况急剧增加。随后,巴西黑客发起了 MSI 安装程序活动来传播恶意负载。

专家表示,Google Cloud Run 因其成本效益和绕过标准安全措施的能力,已成为对网络犯罪分子有吸引力的平台。

攻击机制

攻击首先向潜在受害者发送网络钓鱼电子邮件。这些信件经过精心制作,与官方银行支票、财务报表或政府通知没有什么不同。

研究人员表示,大多数电子邮件都是西班牙语,因为它们是针对拉丁美洲的。但它们也有意大利语版本。这些电子邮件包含将受害者重定向到 Google Cloud Run 上托管的恶意网络服务的链接。

在某些情况下,恶意软件是通过 MSI 文件传播的。在其他情况下,该服务会发出 302 重定向到 Google Cloud Storage,其中包含带有恶意 MSI 的 ZIP 存档。

当 MSI 文件启动时,会下载并安装新的特洛伊木马组件。第二阶段交付是使用合法的 Windows 工具 BITSAdmin 进行的。

最后,该程序通过将 LNK 文件添加到启动文件夹来在受害者的系统上建立永久存在。它们被配置为运行执行恶意脚本的 PowerShell 命令。

恶意软件详细信息

该活动以三种银行木马为特色:Astaroth/Guildma、Mekotio 和 Ousaban。每一个都旨在秘密侵入系统、建立持久存在并窃取敏感信息以渗透受害者的银行账户。

Astaroth 使用先进技术来逃避检测。它最初针对巴西,现在攻击 15 个拉丁美洲国家的 300 多家金融机构。最近,该木马开始收集数据以访问加密货币交换服务。

通过按键拦截、屏幕捕获和剪贴板捕获,Astaroth 不仅窃取机密数据,还监控互联网流量以窃取银行帐户的登录名和密码。

Mekotio 也已活跃多年,目标瞄准拉丁美洲。它侵入银行账户并进行非法交易。该恶意软件经常使用网络钓鱼链接来欺骗用户。

Ousaban 特洛伊木马还使用网络钓鱼和利用虚假银行门户侵入帐户。Cisco Talos 指出,Ousaban 是在 Astaroth 攻击的后期阶段交付的。这意味着这些程序的运营者可能是相关的,也可能是同一个人。

谷歌代表感谢研究人员的工作,并承诺加强安全措施:“我们已经删除了可疑链接,并正在探索加强安全性的选项,以防止未来出现类似的恶意活动。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+15赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66