Hackers καταχρώνται την υπηρεσία Google Cloud Run για τη διανομή banking trojans, όπως τα Astaroth, Mekotio και Ousaban.
Το Google Cloud Run επιτρέπει στους χρήστες να αναπτύσσουν υπηρεσίες frontend και backend, ιστότοπους ή εφαρμογές και να χειρίζονται εύκολα workloads.
Οι ερευνητές της Cisco Talos παρατήρησαν μια τεράστια αύξηση στην κατάχρηση του Google Run από τον Σεπτέμβριο του 2023. Βραζιλιάνοι hackers είχαν ξεκινήσει τότε κακόβουλες καμπάνιες χρησιμοποιώντας αρχεία εγκατάστασης MSI για την ανάπτυξη malware payloads.
Το Google Cloud Run θεωρείται χρήσιμο για τους εγκληματίες του κυβερνοχώρου λόγω του ότι είναι οικονομικά αποδοτικό και μπορεί να παρακάμπτει φίλτρα ασφαλείας.
Δείτε επίσης: Anatsa: Το Android banking trojan πέρασε στο Google Play και στοχεύει περισσότερες χώρες
Πώς γίνεται η διανομή των banking trojans;
Οι επιθέσεις ξεκινούν με phishing emails προς πιθανά θύματα. Τα emails εμφανίζονται ως νόμιμες επικοινωνίες για τιμολόγια, οικονομικές καταστάσεις ή μηνύματα από την τοπική κυβέρνηση και τις φορολογικές υπηρεσίες.
Σύμφωνα με τους ερευνητές, τα περισσότερα κακόβουλα emails είναι στα ισπανικά, καθώς στοχεύουν κυρίως χώρες της Λατινικής Αμερικής, αλλά έχουν εντοπιστεί emails και στα ιταλικά.
Τα emails περιέχουν συνδέσμους που οδηγούν τα θύματα σε κακόβουλες υπηρεσίες που φιλοξενούνται στο Google Cloud Run.
Σε ορισμένες περιπτώσεις, η παράδοση του payload γίνεται μέσω αρχείων MSI. Σε άλλες περιπτώσεις, η υπηρεσία εκδίδει μια ανακατεύθυνση 302 σε μια τοποθεσία Google Cloud Storage. Εκεί υπάρχει ένα αρχείο ZIP με ένα κακόβουλο αρχείο MSI. Όταν το θύμα εκτελεί τα κακόβουλα αρχεία MSI, νέα κακόβουλα payloads κατεβαίνουν και εκτελούνται στο σύστημα.
Σύμφωνα με τους ερευνητές, η παράδοση payload σε δεύτερο στάδιο πραγματοποιείται συνήθως με κατάχρηση του νόμιμου εργαλείου των Windows «BITSAdmin».
Τέλος, το malware εδραιώνει persistence στο σύστημα του θύματος προσθέτοντας αρχεία LNK (‘sysupdates.setup<random_string>.lnk’) στο φάκελο Startup, ρυθμισμένο να εκτελεί μια εντολή PowerShell που εκτελεί το script μόλυνσης (‘AutoIT’).
Δείτε επίσης: Το Coyote banking trojan έχει μολύνει 61 τραπεζικές εφαρμογές
Κατάχρηση του Google Cloud Run για διανομή banking trojans
Οι πρόσφατες καμπάνιες που καταχρώνται την υπηρεσία Google Cloud Run περιλαμβάνουν τρία banking trojans: Astaroth/Guildma, Mekotio και Ousaban. Μέσω των παραπάνω διαδικασιών, τα malware εισχωρούν κρυφά στα συστήματα των στόχων, εδραιώνουν το persistence και κλέβουν οικονομικά δεδομένα που μπορούν να χρησιμοποιηθούν για παράνομες συναλλαγές και κλοπή των χρημάτων των θυμάτων.
Το Astaroth trojan διαθέτει και προηγμένες τεχνικές αποφυγής του εντοπισμού. Αρχικά επικεντρώθηκε σε θύματα στη Βραζιλία, αλλά τώρα στοχεύει πάνω από 300 χρηματοπιστωτικά ιδρύματα σε 15 χώρες της Λατινικής Αμερικής. Πρόσφατα, το κακόβουλο λογισμικό άρχισε να συλλέγει και credentials για υπηρεσίες ανταλλαγής κρυπτονομισμάτων.
Το Mekotio εστιάζει, επίσης, στην περιοχή της Λατινικής Αμερικής. Είναι γνωστό για την κλοπή τραπεζικών credentials και προσωπικών πληροφοριών και για την εκτέλεση δόλιων συναλλαγών. Μπορεί επίσης να χειριστεί τα προγράμματα περιήγησης ιστού για να ανακατευθύνει τους χρήστες σε phishing sites.
Το Ousaban banking trojan κάνει keylogging, καταγράφει screenshots και κλέβει credentials, χρησιμοποιώντας κλωνοποιημένες τραπεζικές σελίδες.
Η Cisco Talos σημειώνει ότι το Ousaban παραδίδεται σε μεταγενέστερο στάδιο της αλυσίδας μόλυνσης Astaroth.
Δείτε επίσης: Mispadu banking trojan: Εκμεταλλεύεται ευπάθεια του Windows SmartScreen
Η Google ενημερώθηκε για την κατάχρηση του Cloud Run για τη διανομή banking trojans και σύμφωνα με δηλώσεις της στο Bleeping Computer, κατήργησε τους κακόβουλους συνδέσμους και αναζητά τρόπους για την ενίσχυση της ασφάλειας και την αποτροπή παρόμοιων επιθέσεων.
Προστασία από banking trojans
Για να προστατευτείτε από τα Banking Trojans, όπως τα Astaroth, Mekotio και Ousaban, είναι ζωτικής σημασίας να διατηρείτε το λειτουργικό σύστημα και το λογισμικό ασφαλείας της συσκευής σας ενημερωμένο. Αυτό περιλαμβάνει την εγκατάσταση των τελευταίων ενημερώσεων και patches που παρέχονται από τον κατασκευαστή του λειτουργικού συστήματος και του λογισμικού ασφαλείας.
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα προστασίας από ιούς και malware. Αυτό θα πρέπει να παρέχει προστασία σε πραγματικό χρόνο και να είναι σε θέση να ανιχνεύσει και να απομακρύνει τα Banking Trojans.
Δείτε επίσης: 10 νέα Android banking trojans εμφανίστηκαν μέσα στο 2023
Επίσης, πρέπει να είστε προσεκτικοί με τα emails και τα μηνύματα που λαμβάνετε. Πολλά Banking Trojans διαδίδονται μέσω phishing emails που προσπαθούν να παραπλανήσουν τους χρήστες να κάνουν κλικ σε επικίνδυνους συνδέσμους.
Τέλος, αποφύγετε τη λήψη εφαρμογών που φαίνονται ύποπτες. Αν ζητούν περισσότερες άδειες από αυτές που χρειάζονται για να λειτουργήσουν σωστά, μην τις κατεβάζετε στη συσκευή σας.