FLUXROOT Threat Group
Um grupo com motivação financeira baseado na América Latina (LATAM), conhecido como FLUXROOT, foi detectado usando projetos sem servidor do Google Cloud para conduzir campanhas de phishing de credenciais. Esta situação sublinha como os modelos de computação em nuvem podem ser explorados para atividades ameaçadoras. Desenvolvedores e empresas preferem arquiteturas sem servidor devido à sua flexibilidade, economia e facilidade de uso. No entanto, estas mesmas vantagens também tornam os serviços de computação sem servidor atraentes para os cibercriminosos. Eles aproveitam essas plataformas para distribuir e gerenciar malware, hospedar sites de phishing e executar scripts fraudulentos projetados especificamente para ambientes sem servidor.
Índice
O FLUXROOAtaca os Usuários com Trojans Bancários
A campanha utilizou URLs de contêiner do Google Cloud para hospedar páginas de phishing de credenciais, visando credenciais de login do Mercado Pago, uma plataforma de pagamento on-line amplamente utilizada na região LATAM. De acordo com o Google, o FLUXROOT é o agente da ameaça por trás desta campanha, anteriormente conhecida por espalhar o Trojan bancário Grandoreiro . As atividades recentes do FLUXROOT também envolveram a exploração de serviços de nuvem legítimos, como Microsoft Azure e Dropbox, para distribuir seu malware.
Os Cibercriminosos Exploram Serviços na Nuvem para Espalhar Malware
Em um caso separado, o PINEAPPLE, outro ator de ameaça, explorou a infraestrutura em nuvem do Google para distribuir o malware ladrão Astaroth (também conhecido como Guildma) em ataques direcionados a usuários brasileiros.
O PINEAPPLE comprometeu instâncias do Google Cloud e criou seus próprios projetos do Google Cloud para gerar URLs de contêiner em domínios legítimos sem servidor do Google Cloud, como cloudfunctions.net e run.app. Esses URLs hospedavam páginas de destino que redirecionavam os alvos para infraestrutura fraudulenta para entrega do malware Astaroth.
Além disso, o PINEAPPLE tentou escapar das defesas do gateway de e-mail usando serviços de encaminhamento de e-mail que permitem a passagem de mensagens com registros SPF (Sender Policy Framework) com falha. Eles também manipularam o campo SMTP Return-Path com dados inesperados para acionar tempos limite de solicitação de DNS, causando falhas nas verificações de autenticação de e-mail.
Os Criminosos Aproveitam Serviços Legítimos para Fins Prejudiciais
Para enfrentar essas ameaças, o Google tomou medidas para mitigar as atividades, encerrando projetos inseguros do Google Cloud e atualizando listas de Navegação segura.
A maior escolha de serviços em nuvem em vários setores permitiu, infelizmente, que os agentes de ameaças explorassem essas plataformas para fins mal intencionados, incluindo a mineração ilícita de criptomoedas devido a configurações fracas e ataques de ransomware.
Esta exploração é ainda facilitada pelo facto de os serviços em nuvem permitirem que os adversários combinem as suas atividades com as operações normais da rede, tornando a deteção significativamente mais difícil.
Os agentes de ameaças aproveitam a flexibilidade e a facilidade de implantação das plataformas sem servidor para distribuir malware e hospedar páginas de phishing. À medida que os defensores implementam medidas de detecção e mitigação, os adversários adaptam continuamente as suas tácticas para escapar a estas defesas.
