Grup d'amenaça FLUXROOT
Un grup de motivació financera amb seu a Llatinoamèrica (LATAM), conegut com FLUXROOT, ha estat detectat mitjançant els projectes sense servidor de Google Cloud per dur a terme campanyes de pesca de credencials. Aquesta situació subratlla com els models de computació en núvol es poden explotar per a activitats amenaçadores. Els desenvolupadors i les empreses afavoreixen les arquitectures sense servidor per la seva flexibilitat, rendibilitat i facilitat d'ús. Tanmateix, aquests mateixos avantatges també fan que els serveis informàtics sense servidor siguin atractius per als ciberdelinqüents. Aprofiten aquestes plataformes per distribuir i gestionar programari maliciós, allotjar llocs de pesca i executar scripts fraudulents dissenyats específicament per a entorns sense servidor.
Taula de continguts
FLUXROOT s'adreça a usuaris amb troians bancaris
La campanya va utilitzar URL dels contenidors de Google Cloud per allotjar pàgines de credencials de pesca, orientades a les credencials d'inici de sessió de Mercado Pago, una plataforma de pagament en línia molt utilitzada a la regió de LATAM. Segons Google, FLUXROOT és l'actor d'amenaça darrere d'aquesta campanya, coneguda anteriorment per la difusió del troià bancari Grandoreiro . Les activitats recents de FLUXROOT també han implicat l'explotació de serveis legítims al núvol com Microsoft Azure i Dropbox per distribuir el seu programari maliciós.
Els ciberdelinqüents exploten els serveis al núvol per difondre programari maliciós
En un cas a part, PINEAPPLE, un altre actor d'amenaces, ha explotat la infraestructura del núvol de Google per distribuir el programari maliciós Astaroth stealer (també conegut com Guildma) en atacs dirigits a usuaris brasilers.
PINEAPPLE va comprometre les instàncies de Google Cloud i va crear els seus propis projectes de Google Cloud per generar URL de contenidors en dominis legítims sense servidor de Google Cloud com cloudfunctions.net i run.app. Aquests URL allotjaven pàgines de destinació que redirigien els objectius a una infraestructura fraudulenta per lliurar el programari maliciós Astaroth.
A més, PINEAPPLE va intentar evadir les defenses de la passarel·la de correu electrònic utilitzant serveis de reenviament de correu que permeten que els missatges amb registres del marc de polítiques de remitents (SPF) fallits passin. També van manipular el camp SMTP Return-Path amb dades inesperades per activar el temps d'espera de la sol·licitud de DNS, cosa que va provocar que les comprovacions d'autenticació del correu electrònic fallessin.
Els delinqüents s'aprofiten dels serveis legítims amb finalitats nocives
Per fer front a aquestes amenaces, Google ha pres mesures per mitigar les activitats tancant els projectes no segurs de Google Cloud i actualitzant les llistes de navegació segura.
Malauradament, l'augment de l'elecció de serveis al núvol en diverses indústries ha permès als actors de les amenaces explotar aquestes plataformes amb finalitats malintencionades, inclosa la mineria il·lícita de criptomoneda a causa de configuracions febles i atacs de ransomware.
Aquesta explotació es veu facilitada encara més pel fet que els serveis al núvol permeten als adversaris combinar les seves activitats amb les operacions normals de la xarxa, fent que la detecció sigui molt més difícil.
Els actors de l'amenaça aprofiten la flexibilitat i la facilitat de desplegament de les plataformes sense servidor per distribuir programari maliciós i allotjar pàgines de pesca. A mesura que els defensors implementen mesures de detecció i mitigació, els adversaris adapten contínuament les seves tàctiques per evadir aquestes defenses.
