Gruppo di minacce FLUXROOT
È stato rilevato un gruppo motivato finanziariamente con sede in America Latina (LATAM), noto come FLUXROOT, che utilizza i progetti serverless di Google Cloud per condurre campagne di phishing di credenziali. Questa situazione sottolinea come i modelli di cloud computing possano essere sfruttati per attività minacciose. Gli sviluppatori e le aziende preferiscono le architetture serverless per la loro flessibilità, convenienza e facilità d'uso. Tuttavia, questi stessi vantaggi rendono i servizi di serverless computing appetibili anche per i criminali informatici. Sfruttano queste piattaforme per distribuire e gestire malware, ospitare siti di phishing ed eseguire script fraudolenti progettati specificamente per ambienti serverless.
Sommario
FLUXROOT prende di mira gli utenti con trojan bancari
La campagna ha utilizzato gli URL dei contenitori Google Cloud per ospitare pagine di phishing di credenziali, prendendo di mira le credenziali di accesso per Mercado Pago, una piattaforma di pagamento online ampiamente utilizzata nella regione LATAM. Secondo Google, FLUXROOT è l'autore della minaccia dietro questa campagna, precedentemente noto per aver diffuso il trojan bancario Grandereiro . Le recenti attività di FLUXROOT hanno coinvolto anche lo sfruttamento di servizi cloud legittimi come Microsoft Azure e Dropbox per distribuire il proprio malware.
I criminali informatici sfruttano i servizi cloud per diffondere malware
In un caso separato, PINEAPPLE, un altro attore di minacce, ha sfruttato l'infrastruttura cloud di Google per distribuire il malware stealer Astaroth (noto anche come Guildma) in attacchi mirati agli utenti brasiliani.
PINEAPPLE ha compromesso le istanze di Google Cloud e ha creato i propri progetti Google Cloud per generare URL di contenitori su domini serverless Google Cloud legittimi come cloudfunctions.net e run.app. Questi URL ospitavano pagine di destinazione che reindirizzavano gli obiettivi a un'infrastruttura fraudolenta per la distribuzione del malware Astaroth.
Inoltre, PINEAPPLE ha tentato di eludere le difese del gateway di posta elettronica utilizzando servizi di inoltro della posta che consentono il passaggio di messaggi con record SPF (Sender Policy Framework) non riusciti. Hanno inoltre manipolato il campo SMTP Return-Path con dati imprevisti per attivare i timeout delle richieste DNS, causando il fallimento dei controlli di autenticazione della posta elettronica.
I criminali sfruttano servizi legittimi per scopi dannosi
Per affrontare queste minacce, Google ha adottato misure per mitigare le attività chiudendo progetti Google Cloud non sicuri e aggiornando gli elenchi di Navigazione sicura.
La maggiore scelta di servizi cloud in vari settori ha purtroppo consentito agli autori delle minacce di sfruttare queste piattaforme per scopi malintenzionati, incluso il mining illecito di criptovalute a causa di configurazioni deboli e attacchi ransomware.
Questo sfruttamento è ulteriormente facilitato dal fatto che i servizi cloud consentono agli hacker di fondere le loro attività con le normali operazioni di rete, rendendo il rilevamento molto più difficile.
Gli autori delle minacce sfruttano la flessibilità e la facilità di implementazione delle piattaforme serverless per distribuire malware e ospitare pagine di phishing. Mentre i difensori implementano misure di rilevamento e mitigazione, gli avversari adattano continuamente le loro tattiche per eludere queste difese.
