top of page

Troyanos bancarios utilizan Google Cloud Run contra LATAM y Europa

Investigadores de ciberseguridad advierten sobre el aumento de campañas de phishing por correo electrónico que utilizan el servicio Google Cloud Run para difundir troyanos bancarios en América Latina y Europa. Astaroth, Mekotio y Ousaban son algunas de las amenazas distribuidas.


ilustración hacker com

¿Qué es?


Recientemente, investigadores de ciberseguridad han observado un pico en campañas de phishing que explotan el servicio Google Cloud Run para entregar varios troyanos bancarios, como Astaroth (también conocido como Guildma), Mekotio y Ousaban (también conocido como Javali), apuntando principalmente a América Latina y Europa.


Estas campañas se caracterizan por el uso de instaladores maliciosos de Microsoft (MSIs) que funcionan como droppers o descargadores para los payloads finales de malware. La técnica emplea Google Cloud Run, una plataforma computacional gestionada que permite ejecutar servicios sin necesidad de administrar o escalar la infraestructura, como una forma efectiva y de bajo costo para que los adversarios desplieguen infraestructura de distribución.


Este servicio ha sido abusado desde septiembre de 2023, con campañas enviando correos electrónicos que imitan comunicaciones oficiales, a menudo relacionadas con facturas o documentos fiscales, intentando engañar a los destinatarios para que hagan clic en enlaces maliciosos. Según las estadísticas recopiladas por los investigadores, las instituciones brasileñas son las principales afectadas por los ataques, y los servidores de correo electrónico brasileños están entre los principales remitentes de las campañas.


¿Por qué es importante?


Este ataque destaca una tendencia preocupante de amenazas cibernéticas aprovechando servicios en la nube legítimos para facilitar la distribución de malware.


El uso de Google Cloud Run por parte de los adversarios no solo facilita la diseminación de campañas maliciosas a gran escala, sino que también plantea un desafío significativo para las organizaciones en la detección y bloqueo de estos ataques, ya que muchas de ellas dependen de estos servicios para operaciones legítimas.

La elección de servicios en la nube populares como vector de ataque puede disminuir la eficacia de las defensas tradicionales basadas en la reputación y permitir que los atacantes eviten la detección, aumentando así el riesgo para las instituciones financieras y sus clientes, especialmente considerando la sofisticación y especificidad de los troyanos involucrados.


La concentración de instituciones afectadas y servidores remitentes en Brasil también genera preocupaciones sobre evoluciones en el ecosistema de troyanos bancarios en el país.


¿Qué debo hacer para mantener mi empresa segura ante troyanos bancarios?


Existen evidencias de que uno de los principales factores relacionados con la seguridad contra el Phishing está asociado con la educación de los usuarios. Por lo tanto, promover capacitaciones regulares puede tener impactos significativos en el éxito de incidentes de seguridad de esta naturaleza en relación con diferentes organizaciones. Soluciones que incluyan análisis de adjuntos y URLs en tiempo real con capacidad de detección y bloqueo de correos electrónicos maliciosos también pueden ayudar a prevenir este tipo de acción.


IOC’s


4fa9e718fca1fa299beab1b5fea500a0e63385b5fe6d4eb1b1001f2abd97a828
ed9f268ba7acdcbaeedd40a5c538c6a2637fd41a546363ed7587a6c2e5cdf02b
b8afd6640de8feed1774e8db3d428c0f1bca023324bb7de9a5eb99db2ea84e26
8d912a99076f0bdc4fcd6e76c51a1d598339c1502086a4381f5ef67520a0ddf2
094e722972e6e4d2858dd2447d30c7025e7446f4ca60a7dc5a711f906ab5b1a0
d972675774f28e7f5ad206f420470925c4fdbca681816a19aa91a6d054b8f55a
237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d
1a9113491deb9f21c590de4f7e9e370594e47431be482b32f8a5234ad7545a0b
5c4a89c81be51e9e048cf3624d4a44fd4355cf6bf56a3c10217d3d3037410b55
05ef393f6e6d3f8e1ba15eec63a1c2121744400d322a03c9c8e26c1ed58cb6a7
6d7148b180367e84763690fc57cbd526433026f50dc0c029b00a714ba1660cd3
b712286d4d36c74fa32127f848b79cfb857fdc2b1c84bbbee285cf34752443a2
b45d8630d54c8d39e3554e0c5a71003d818617e07953520a8638f0935f04dc85
6e1434e0f8cd402f8acb0aade942c86d6b62cd6aa3927053f25fdf57ed384b47
7c7dc2065e295eb7ec60d1f8f552e455468e19e731ad20005833d71fa1371f50
hxxps[:]//arr-wd3463btrq-uc[.]a[.]run[.]app
hxxps[:]//storage[.]googleapis[.]com/alele/FAT.1705617082.zip
hxxps[:]//portu-wd3463btrq-uc[.]a[.]run[.]app
hxxps[:]//storage[.]googleapis[.]com/alele/Fat.184949849.zip
hxxp[:]//avfa-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//factalia-ofh2cutija-uc[.]a[.]run[.]app
hxxp[:]//gasgas-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//haergsd-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//jx-krrdbo6imq-uc[.]a[.]run[.]app
hxxp[:]//ptb-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//ptm-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//pto-wd3463btrq-uc[.]a[.]run[.]app
hxxp[:]//w3iuwl[.]nextmax[.]my[.]id/?5/
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?76849368130628733
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?39829895502632947
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?61694995802639066
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?41991463280678058
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?51999170290693658
hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?75129547751613994arr-wd3463btrq-uc[.]a[.]run[.]app
portu-wd3463btrq-uc[.]a[.]run[.]app
xwago[.]creativeplus[.]my[.]id
wae4w[.]mariomanagement[.]biz[.]id
h4aowa[.]mariostrategy[.]my[.]id
yaiinr[.]actiongroup[.]my[.]id
e0aonr[.]creativeplus[.]my[.]id
wiae5[.]marioadvisory[.]my[.]id
caiiaf[.]businesswise[.]biz[.]id
2joafm[.]marioanalytics[.]my[.]id
nqaa8e[.]businesswise[.]biz[.]id
nweow8[.]mariostrategy[.]my[.]id
wba0s[.]produtoeletro[.]my[.]id
4hawb[.]produtoeletro[.]my[.]id
cua3e[.]mariosolutions[.]biz[.]id
eeiul[.]marioadvisory[.]my[.]id
kka5c[.]marioanalytics[.]my[.]id
w8oaa0[.]mariosolutions[.]biz[.]id
0tuiwp[.]mariomanagement[.]biz[.]id
lwafa[.]actiongroup[.]my[.]id
avfa-wd3463btrq-uc[.]a[.]run[.]app
factalia-ofh2cutija-uc[.]a[.]run[.]app
gasgas-wd3463btrq-uc[.]a[.]run[.]app
haergsd-wd3463btrq-uc[.]a[.]run[.]app
jx-krrdbo6imq-uc[.]a[.]run[.]app
ptb-wd3463btrq-uc[.]a[.]run[.]app
ptm-wd3463btrq-uc[.]a[.]run[.]app
pto-wd3463btrq-uc[.]a[.]run[.]app
1[.]tcp[.]sa[.]ngrok[.]io



Referencia y Créditos
0 comentarios

Comments


bottom of page