Se ha detectado un aumento en las campañas de phishing por correo electrónico en Latinoamérica y Europa, utilizando Google Cloud Run para propagar troyanos bancarios como Astaroth, Mekotio y Ousaban. Los ciberdelincuentes emplean el mismo bucket de almacenamiento dentro de Google Cloud para la propagación, y se cree que todos están relacionados. La mayoría de los sistemas utilizados para enviar mensajes de phishing provienen de Brasil, seguidos de EE. UU., Rusia, México, Argentina, Ecuador, Sudáfrica, Francia, España y Bangladesh. Los correos electrónicos incluyen temas relacionados con facturas o documentos financieros y fiscales y, en algunos casos, afirman ser de agencias tributarias gubernamentales locales.
Comúnmente, estos mensajes contienen enlaces a un sitio web alojado en run[.]app, lo que resulta en la entrega de un archivo ZIP que contiene un archivo MSI malicioso directamente o a través de redirecciones 302 a una ubicación de almacenamiento de Google Cloud, donde se almacena el instalador. Los actores de amenazas también intentan evadir la detección utilizando trucos de geofencing.
Las cadenas de infección asociadas con estas familias de malware presentan el uso de instaladores maliciosos de Microsoft (MSI) que funcionan como droppers o downloaders para el payload final de malware(s). Además de aprovechar la misma infraestructura para entregar tanto Mekotio como Astaroth, la cadena de infección asociada con Astaroth actúa como conducto para distribuir Ousaban.
Astaroth, Mekotio y Ousaban están diseñados para atacar a las instituciones financieras, mantener el control de la actividad de navegación web de los usuarios, así como grabar pulsaciones de teclas y tomar capturas de pantalla si se abre uno de los sitios web del banco objetivo.
Los expertos en ciberseguridad destacan un aumento en el uso de códigos QR en ataques de phishing y basados en correo electrónico (conocido como «quishing») para engañar a posibles víctimas y hacer que instalen malware en sus dispositivos móviles. Por otro lado, las actividades de phishing se ven impulsadas por la fácil disponibilidad de kits de phishing como Greatness y Tycoon, que se han convertido en un medio rentable y escalable para que los aspirantes a delincuentes cibernéticos lancen campañas maliciosas.
En resumen, se ha producido un aumento en las campañas de phishing utilizando Google Cloud Run para propagar troyanos bancarios como Astaroth, Mekotio y Ousaban. Los expertos en ciberseguridad han alertado sobre estas acciones, ya que pueden evadir la detección utilizando trucos de geofencing y engañosos enlaces QR. Los usuarios deben mantenerse alerta ante correos electrónicos sospechosos y tener en cuenta la fácil disponibilidad de kits de phishing.
Vía The Hacker News
