Темное облако над вашим кошельком: банковские трояны выбирают Google Cloud Run

Аналитики предупреждают: в последнее время хакеры стали часто злоупотреблять сервисом Google Cloud Run для массового распространения банковских троянов, таких как Astaroth, Mekotio и Ousaban.

Google Cloud Run позволяет пользователям развертывать фронтенд и бэкенд сервисы, веб-сайты или приложения, обрабатывать нагрузки. При этом нет необходимости управлять инфраструктурой и масштабированием.

Исследователи из Cisco Talos заметили резкий рост использования сервиса Google злоумышленниками для распространения вредоносного ПО начиная с сентября 2023 года. Тогда бразильские хакеры запустили кампании по рассылке MSI-установщиков для доставки вредоносных полезных нагрузок.

По мнению экспертов, Google Cloud Run стал привлекательной платформой для киберпреступников благодаря экономической эффективности и возможности обхода стандартных средств защиты.

Механизм атак

Атаки начинаются с рассылки фишинговых писем потенциальным жертвам. Письма продуманы очень тщательно: они ничем не отличаются от официальных банковских чеков, финансовых отчетов и уведомлений от государственных органов.

По словам исследователей, большинство писем на испанском языке, поскольку они нацелены на Латинскую Америку. Но встречаются и на итальянском. Письма содержат ссылки, которые перенаправляют жертв на вредоносные веб-сервисы, размещенные на Google Cloud Run.

В некоторых случаях доставка зловредных программ происходит через MSI-файлы. В других случаях сервис выдает 302-редирект на облачное хранилище Google Cloud Storage, где размещен ZIP-архив с вредоносным MSI.

При запуске MSI-файлов происходит загрузка и установка новых компонентов трояна. Доставка второй стадии осуществляется с помощью легитимного инструмента Windows BITSAdmin.

Наконец, программа устанавливает постоянное присутствие в системе жертвы, добавляя файлы LNK в папку автозагрузки. Они настроены на запуск команды PowerShell, которая выполняет вредоносный скрипт.

Детали вредоносных программ

В кампаниях фигурируют три банковских трояна: Astaroth/Guildma, Mekotio и Ousaban. Каждый предназначен для скрытного взлома систем, установки постоянного присутствия и кражи конфиденциальных сведений для проникновения в банковские счета жертв.

Astaroth использует передовые методы уклонения от обнаружения. Изначально он был нацелен на Бразилию, а теперь атакует более 300 финансовых организаций в 15 странах Латинской Америки. В последнее время троян начал собирать данные для доступа к сервисам обмена криптовалютой.

Применяя перехват клавиш, захват экрана и буфера обмена, Astaroth не только ворует конфиденциальные данные, но и отслеживает интернет-трафик для кражи логинов и паролей в банковских аккаунтах.

Mekotio тоже активен уже несколько лет и нацелен на Латинскую Америку. Он взламывает банковские учетные записи, а также осуществляет незаконные транзакции. Этот вредонос часто использует фишинговые ссылки для обмана пользователей.

Троян Ousaban также применяет фишинг и взламывает счета с помощью поддельных банковских порталов. Cisco Talos отмечает, что Ousaban доставляется на более поздней стадии атаки Astaroth. А значит, операторы этих программ могут связаны или это вовсе один и тот же человек.

Представители Google поблагодарили исследователей за их работу и пообещали усилить меры безопасности: «Мы удалили подозрительные ссылки и изучаем варианты усиления защиты, чтобы предотвратить подобную злонамеренную активность в будущем».