黑客近期频繁滥用Google Cloud Run 服务传播银行木马

分析师警告称，黑客最近开始频繁滥用Google Cloud Run 服务，大规模传播 Astaroth、Mekotio 和 Ousaban 等银行木马。

Google Cloud Run允许用户部署前端和后端服务、网站或应用程序以及处理负载。无需管理基础设施和扩展。

思科 Talos 的研究人员 注意到，从 2023 年 9 月开始，攻击者使用 Google 服务传播恶意软件的情况急剧增加。随后，巴西黑客发起了 MSI 安装程序活动来传播恶意负载。

专家表示，Google Cloud Run 因其成本效益和绕过标准安全措施的能力，已成为对网络犯罪分子有吸引力的平台。

攻击机制

攻击首先向潜在受害者发送网络钓鱼电子邮件。这些信件经过精心制作，与官方银行支票、财务报表或政府通知没有什么不同。

研究人员表示，大多数电子邮件都是西班牙语，因为它们是针对拉丁美洲的。但它们也有意大利语版本。这些电子邮件包含将受害者重定向到 Google Cloud Run 上托管的恶意网络服务的链接。

在某些情况下，恶意软件是通过 MSI 文件传播的。在其他情况下，该服务会发出 302 重定向到 Google Cloud Storage，其中包含带有恶意 MSI 的 ZIP 存档。

当 MSI 文件启动时，会下载并安装新的特洛伊木马组件。第二阶段交付是使用合法的 Windows 工具 BITSAdmin 进行的。

最后，该程序通过将 LNK 文件添加到启动文件夹来在受害者的系统上建立永久存在。它们被配置为运行执行恶意脚本的 PowerShell 命令。

恶意软件详细信息

该活动以三种银行木马为特色：Astaroth/Guildma、Mekotio 和 Ousaban。每一个都旨在秘密侵入系统、建立持久存在并窃取敏感信息以渗透受害者的银行账户。

Astaroth 使用先进技术来逃避检测。它最初针对巴西，现在攻击 15 个拉丁美洲国家的 300 多家金融机构。最近，该木马开始收集数据以访问加密货币交换服务。

通过按键拦截、屏幕捕获和剪贴板捕获，Astaroth 不仅窃取机密数据，还监控互联网流量以窃取银行帐户的登录名和密码。

Mekotio 也已活跃多年，目标瞄准拉丁美洲。它侵入银行账户并进行非法交易。该恶意软件经常使用网络钓鱼链接来欺骗用户。

Ousaban 特洛伊木马还使用网络钓鱼和利用虚假银行门户侵入帐户。Cisco Talos 指出，Ousaban 是在 Astaroth 攻击的后期阶段交付的。这意味着这些程序的运营者可能是相关的，也可能是同一个人。

谷歌代表感谢研究人员的工作，并承诺加强安全措施：“我们已经删除了可疑链接，并正在探索加强安全性的选项，以防止未来出现类似的恶意活动。”