Οι υπηρεσίες cloud του Azure της Microsoft έχουν γίνει ελκυστική επιλογή για τους κυβερνοεγκληματίες για να αποθηκεύουν κακόβουλο περιεχόμενο. Από phishing template (πρότυπο ηλεκτρονικού ψαρέματος) σε υπηρεσίες malware και «command and control», φαίνεται ότι οι απατεώνες βρήκαν έναν νέο τόπο για να ξεδιπλώσουν το ταλέντο τους.
Μόλις αυτό το μήνα, το BleepingComputer ανέφερε δύο περιστατικά που σχετίζονται με malware στο Azure. Σε μια περίπτωση υπήρχαν περίπου 200 website που παρουσίαζαν απάτες τεχνικής υποστήριξης τα οποία φιλοξενούνταν στην πλατφόρμα.
Σε ένα άλλο άρθο που δημοσιεύτηκε αυτή την εβδομάδα, λέγεται ότι το Azure χρησιμοποιείται για να φιλοξενήσει ένα phishing template (πρότυπο ηλεκτρονικού ψαρέματος) για το Office 365. Δεδομένου ότι τα δύο προϊόντα προέρχονται από τη Microsoft, η απάτη εμφανίζεται ως νόμιμο login request αίτηση, αυξάνοντας το ποσοστό επιτυχίας.
Φαίνεται ότι αυτά δεν είναι μεμονωμένα περιστατικά. Οι ερευνητές ασφαλείας των JayTHL και MalwareHunterTeam βρήκαν malware στο Azure και το ανέφεραν στη Microsoft στις 12 Μαΐου.
Σύμφωνα με την εταιρία cybersecurity AppRiver, το αναφερόμενο κομμάτι malware μαζί με άλλα δείγματα που μεταφορτώθηκαν αργότερα εξακολουθούσαν να υπάρχουν στην υποδομή του Azure της Microsoft στις 29 Μαΐου.
“Είναι προφανές ότι το Azure δεν ανιχνεύει επί του παρόντος το κακόβουλο software που διαμένει στους server της Microsoft”, λέει ο David Pickett του AppRiver.
Ένα από τα δείγματα, το ‘searchfile.exe’, βρέθηκε από την υπηρεσία σάρωσης VirusTotal στις 26 Απριλίου και το ανίχνευσε το Windows Defender.
Το ίδιο ισχύει και για το malware που εντοπίστηκε από τους δύο ερευνητές, το “printer / prenter.exe”, το οποίο είναι ένα μη συμπιεσμένο φορητό εκτελέσιμο αρχείο, ειδικά σχεδιασμένο για να αποφεύγει τον εντοπισμό κατά την λήψη από τις endpoint λύσεις ασφαλείας.
Ωστόσο, το Windows Defender θα αποκλείσει το κακόβουλο αρχείο όταν οι χρήστες προσπαθήσουν να το κατεβάσουν στην συσκευή τους.
Ο Pickett λέει ότι κατά την εκτέλεση του ‘printer.exe’ η γραμμή εντολών καλείται να τρέξει τον C # compiler και έτσι να ενεργοποιήσει το payload.
Το JayTHL διευκρινίζει ότι το δείγμα φαίνεται να είναι ένας απλός “agent” που τρέχει οποιαδήποτε εντολή λαμβάνει από τον εξυπηρετητή εντολών και ελέγχου.
Το Microsoft Azure δεν θα ήταν η πρώτη πολύ γνωστή πλατφόρμα που χρησιμοποιήθηκε για την αποθήκευση κακόβουλου περιεχομένου. Το Google Drive, το Dropbox και οι web υπηρεσίες του Amazon είναι μερικά παραδείγματα. Συνήθως, οι κυβερνοεγκληματίες υπονομεύουν τα νόμιμα website και τα χρησιμοποιούν για να φιλοξενούν κακόβουλο περιεχόμενο, αλλά φυσικά δεν χάνουν την ευκαιρία να αρπάξουν οποιαδήποτε ευκαιρία για να κάνουν την δουλειά τους, ειδικά αν ο κίνδυνος και ο κόπος είναι σε χαμηλά επίπεδα.
