Investigadores de ciberseguridad advierten sobre el aumento de campañas de phishing por correo electrónico que utilizan el servicio Google Cloud Run para difundir troyanos bancarios en América Latina y Europa. Astaroth, Mekotio y Ousaban son algunas de las amenazas distribuidas.
¿Qué es?
Recientemente, investigadores de ciberseguridad han observado un pico en campañas de phishing que explotan el servicio Google Cloud Run para entregar varios troyanos bancarios, como Astaroth (también conocido como Guildma), Mekotio y Ousaban (también conocido como Javali), apuntando principalmente a América Latina y Europa.
Estas campañas se caracterizan por el uso de instaladores maliciosos de Microsoft (MSIs) que funcionan como droppers o descargadores para los payloads finales de malware. La técnica emplea Google Cloud Run, una plataforma computacional gestionada que permite ejecutar servicios sin necesidad de administrar o escalar la infraestructura, como una forma efectiva y de bajo costo para que los adversarios desplieguen infraestructura de distribución.
Este servicio ha sido abusado desde septiembre de 2023, con campañas enviando correos electrónicos que imitan comunicaciones oficiales, a menudo relacionadas con facturas o documentos fiscales, intentando engañar a los destinatarios para que hagan clic en enlaces maliciosos. Según las estadísticas recopiladas por los investigadores, las instituciones brasileñas son las principales afectadas por los ataques, y los servidores de correo electrónico brasileños están entre los principales remitentes de las campañas.
¿Por qué es importante?
Este ataque destaca una tendencia preocupante de amenazas cibernéticas aprovechando servicios en la nube legítimos para facilitar la distribución de malware.
El uso de Google Cloud Run por parte de los adversarios no solo facilita la diseminación de campañas maliciosas a gran escala, sino que también plantea un desafío significativo para las organizaciones en la detección y bloqueo de estos ataques, ya que muchas de ellas dependen de estos servicios para operaciones legítimas.
La elección de servicios en la nube populares como vector de ataque puede disminuir la eficacia de las defensas tradicionales basadas en la reputación y permitir que los atacantes eviten la detección, aumentando así el riesgo para las instituciones financieras y sus clientes, especialmente considerando la sofisticación y especificidad de los troyanos involucrados.
La concentración de instituciones afectadas y servidores remitentes en Brasil también genera preocupaciones sobre evoluciones en el ecosistema de troyanos bancarios en el país.
¿Qué debo hacer para mantener mi empresa segura ante troyanos bancarios?
Existen evidencias de que uno de los principales factores relacionados con la seguridad contra el Phishing está asociado con la educación de los usuarios. Por lo tanto, promover capacitaciones regulares puede tener impactos significativos en el éxito de incidentes de seguridad de esta naturaleza en relación con diferentes organizaciones. Soluciones que incluyan análisis de adjuntos y URLs en tiempo real con capacidad de detección y bloqueo de correos electrónicos maliciosos también pueden ayudar a prevenir este tipo de acción.
IOC’s
4fa9e718fca1fa299beab1b5fea500a0e63385b5fe6d4eb1b1001f2abd97a828ed9f268ba7acdcbaeedd40a5c538c6a2637fd41a546363ed7587a6c2e5cdf02bb8afd6640de8feed1774e8db3d428c0f1bca023324bb7de9a5eb99db2ea84e268d912a99076f0bdc4fcd6e76c51a1d598339c1502086a4381f5ef67520a0ddf2094e722972e6e4d2858dd2447d30c7025e7446f4ca60a7dc5a711f906ab5b1a0d972675774f28e7f5ad206f420470925c4fdbca681816a19aa91a6d054b8f55a237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d1a9113491deb9f21c590de4f7e9e370594e47431be482b32f8a5234ad7545a0b5c4a89c81be51e9e048cf3624d4a44fd4355cf6bf56a3c10217d3d3037410b5505ef393f6e6d3f8e1ba15eec63a1c2121744400d322a03c9c8e26c1ed58cb6a76d7148b180367e84763690fc57cbd526433026f50dc0c029b00a714ba1660cd3b712286d4d36c74fa32127f848b79cfb857fdc2b1c84bbbee285cf34752443a2b45d8630d54c8d39e3554e0c5a71003d818617e07953520a8638f0935f04dc856e1434e0f8cd402f8acb0aade942c86d6b62cd6aa3927053f25fdf57ed384b477c7dc2065e295eb7ec60d1f8f552e455468e19e731ad20005833d71fa1371f50hxxps[:]//arr-wd3463btrq-uc[.]a[.]run[.]apphxxps[:]//storage[.]googleapis[.]com/alele/FAT.1705617082.ziphxxps[:]//portu-wd3463btrq-uc[.]a[.]run[.]apphxxps[:]//storage[.]googleapis[.]com/alele/Fat.184949849.ziphxxp[:]//avfa-wd3463btrq-uc[.]a[.]run[.]apphxxp[:]//factalia-ofh2cutija-uc[.]a[.]run[.]apphxxp[:]//gasgas-wd3463btrq-uc[.]a[.]run[.]apphxxp[:]//haergsd-wd3463btrq-uc[.]a[.]run[.]apphxxp[:]//jx-krrdbo6imq-uc[.]a[.]run[.]apphxxp[:]//ptb-wd3463btrq-uc[.]a[.]run[.]apphxxp[:]//ptm-wd3463btrq-uc[.]a[.]run[.]apphxxp[:]//pto-wd3463btrq-uc[.]a[.]run[.]apphxxp[:]//w3iuwl[.]nextmax[.]my[.]id/?5/hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?76849368130628733hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?39829895502632947hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?61694995802639066hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?41991463280678058hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?51999170290693658hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?75129547751613994arr-wd3463btrq-uc[.]a[.]run[.]appportu-wd3463btrq-uc[.]a[.]run[.]appxwago[.]creativeplus[.]my[.]idwae4w[.]mariomanagement[.]biz[.]idh4aowa[.]mariostrategy[.]my[.]idyaiinr[.]actiongroup[.]my[.]ide0aonr[.]creativeplus[.]my[.]idwiae5[.]marioadvisory[.]my[.]idcaiiaf[.]businesswise[.]biz[.]id2joafm[.]marioanalytics[.]my[.]idnqaa8e[.]businesswise[.]biz[.]idnweow8[.]mariostrategy[.]my[.]idwba0s[.]produtoeletro[.]my[.]id4hawb[.]produtoeletro[.]my[.]idcua3e[.]mariosolutions[.]biz[.]ideeiul[.]marioadvisory[.]my[.]idkka5c[.]marioanalytics[.]my[.]idw8oaa0[.]mariosolutions[.]biz[.]id0tuiwp[.]mariomanagement[.]biz[.]idlwafa[.]actiongroup[.]my[.]idavfa-wd3463btrq-uc[.]a[.]run[.]appfactalia-ofh2cutija-uc[.]a[.]run[.]appgasgas-wd3463btrq-uc[.]a[.]run[.]apphaergsd-wd3463btrq-uc[.]a[.]run[.]appjx-krrdbo6imq-uc[.]a[.]run[.]appptb-wd3463btrq-uc[.]a[.]run[.]appptm-wd3463btrq-uc[.]a[.]run[.]apppto-wd3463btrq-uc[.]a[.]run[.]app1[.]tcp[.]sa[.]ngrok[.]ioReferencia y Créditos
Comments