Grupul de amenințare FLUXROOT
Un grup motivat din punct de vedere financiar cu sediul în America Latină (LATAM), cunoscut sub numele de FLUXROOT, a fost detectat folosind proiectele fără server ale Google Cloud pentru a desfășura campanii de phishing cu acreditări. Această situație subliniază modul în care modelele de cloud computing pot fi exploatate pentru activități amenințătoare. Dezvoltatorii și întreprinderile preferă arhitecturile fără server datorită flexibilității, rentabilității și ușurinței de utilizare. Cu toate acestea, aceleași avantaje fac ca serviciile de calcul fără server să fie atractive pentru infractorii cibernetici. Ei folosesc aceste platforme pentru a distribui și gestiona programe malware, pentru a găzdui site-uri de phishing și pentru a rula scripturi frauduloase concepute special pentru medii fără server.
Cuprins
FLUXROOT vizează utilizatorii cu troieni bancare
Campania a folosit adrese URL de containere Google Cloud pentru a găzdui pagini de phishing cu acreditări, ținzând acreditările de conectare pentru Mercado Pago, o platformă de plată online utilizată pe scară largă în regiunea LATAM. Potrivit Google, FLUXROOT este actorul amenințării din spatele acestei campanii, cunoscută anterior pentru răspândirea troianului bancar Grandoreiro . Activitățile recente ale FLUXROOT au implicat, de asemenea, exploatarea serviciilor cloud legitime, cum ar fi Microsoft Azure și Dropbox, pentru a-și distribui programele malware.
Infractorii cibernetici exploatează serviciile cloud pentru a răspândi programe malware
Într-un caz separat, PINEAPPLE, un alt actor de amenințări, a exploatat infrastructura cloud a Google pentru a distribui malware-ul Astaroth stealer (cunoscut și sub numele de Guildma) în atacuri care vizează utilizatorii brazilieni.
PINEAPPLE a compromis instanțe Google Cloud și și-a creat propriile proiecte Google Cloud pentru a genera adrese URL de container pe domenii legitime fără server Google Cloud, cum ar fi cloudfunctions.net și run.app. Aceste adrese URL găzduiau pagini de destinație care redirecționau ținte către infrastructura frauduloasă pentru livrarea malware-ului Astaroth.
În plus, PINEAPPLE a încercat să evite apărarea gateway-ului de e-mail utilizând servicii de redirecționare a e-mailurilor care permit transmiterea mesajelor cu înregistrări eșuate din cadrul SPF (Sender Policy Framework). De asemenea, au manipulat câmpul SMTP Return-Path cu date neașteptate pentru a declanșa expirarea timpului de solicitare DNS, provocând eșecul verificărilor de autentificare a e-mailului.
Infractorii profită de serviciile legitime în scopuri dăunătoare
Pentru a aborda aceste amenințări, Google a luat măsuri pentru a atenua activitățile prin închiderea proiectelor Google Cloud nesigure și prin actualizarea listelor de Navigare sigură.
Opțiunea sporită a serviciilor cloud în diverse industrii a permis, din păcate, actorilor amenințărilor să exploateze aceste platforme în scopuri nepricepute, inclusiv extragerea ilegală de criptomonede din cauza configurațiilor slabe și a atacurilor ransomware.
Această exploatare este facilitată și mai mult de faptul că serviciile cloud permit adversarilor să-și îmbine activitățile cu operațiunile normale de rețea, făcând detectarea mult mai dificilă.
Actorii amenințărilor profită de flexibilitatea și ușurința de implementare ale platformelor fără server pentru a distribui malware și a găzdui pagini de phishing. Pe măsură ce apărătorii implementează măsuri de detectare și atenuare, adversarii își adaptează continuu tacticile pentru a sustrage aceste apărări.
