Troyanos bancarios utilizan Google Cloud Run contra LATAM y Europa

Investigadores de ciberseguridad advierten sobre el aumento de campañas de phishing por correo electrónico que utilizan el servicio Google Cloud Run para difundir troyanos bancarios en América Latina y Europa. Astaroth, Mekotio y Ousaban son algunas de las amenazas distribuidas.

¿Qué es?

Recientemente, investigadores de ciberseguridad han observado un pico en campañas de phishing que explotan el servicio Google Cloud Run para entregar varios troyanos bancarios, como Astaroth (también conocido como Guildma), Mekotio y Ousaban (también conocido como Javali), apuntando principalmente a América Latina y Europa.

Estas campañas se caracterizan por el uso de instaladores maliciosos de Microsoft (MSIs) que funcionan como droppers o descargadores para los payloads finales de malware. La técnica emplea Google Cloud Run, una plataforma computacional gestionada que permite ejecutar servicios sin necesidad de administrar o escalar la infraestructura, como una forma efectiva y de bajo costo para que los adversarios desplieguen infraestructura de distribución.

Este servicio ha sido abusado desde septiembre de 2023, con campañas enviando correos electrónicos que imitan comunicaciones oficiales, a menudo relacionadas con facturas o documentos fiscales, intentando engañar a los destinatarios para que hagan clic en enlaces maliciosos. Según las estadísticas recopiladas por los investigadores, las instituciones brasileñas son las principales afectadas por los ataques, y los servidores de correo electrónico brasileños están entre los principales remitentes de las campañas.

¿Por qué es importante?

Este ataque destaca una tendencia preocupante de amenazas cibernéticas aprovechando servicios en la nube legítimos para facilitar la distribución de malware.

La elección de servicios en la nube populares como vector de ataque puede disminuir la eficacia de las defensas tradicionales basadas en la reputación y permitir que los atacantes eviten la detección, aumentando así el riesgo para las instituciones financieras y sus clientes, especialmente considerando la sofisticación y especificidad de los troyanos involucrados.

La concentración de instituciones afectadas y servidores remitentes en Brasil también genera preocupaciones sobre evoluciones en el ecosistema de troyanos bancarios en el país.

¿Qué debo hacer para mantener mi empresa segura ante troyanos bancarios?

Existen evidencias de que uno de los principales factores relacionados con la seguridad contra el Phishing está asociado con la educación de los usuarios. Por lo tanto, promover capacitaciones regulares puede tener impactos significativos en el éxito de incidentes de seguridad de esta naturaleza en relación con diferentes organizaciones. Soluciones que incluyan análisis de adjuntos y URLs en tiempo real con capacidad de detección y bloqueo de correos electrónicos maliciosos también pueden ayudar a prevenir este tipo de acción.

IOC’s

4fa9e718fca1fa299beab1b5fea500a0e63385b5fe6d4eb1b1001f2abd97a828

ed9f268ba7acdcbaeedd40a5c538c6a2637fd41a546363ed7587a6c2e5cdf02b

b8afd6640de8feed1774e8db3d428c0f1bca023324bb7de9a5eb99db2ea84e26

8d912a99076f0bdc4fcd6e76c51a1d598339c1502086a4381f5ef67520a0ddf2

094e722972e6e4d2858dd2447d30c7025e7446f4ca60a7dc5a711f906ab5b1a0

d972675774f28e7f5ad206f420470925c4fdbca681816a19aa91a6d054b8f55a

237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d

1a9113491deb9f21c590de4f7e9e370594e47431be482b32f8a5234ad7545a0b

5c4a89c81be51e9e048cf3624d4a44fd4355cf6bf56a3c10217d3d3037410b55

05ef393f6e6d3f8e1ba15eec63a1c2121744400d322a03c9c8e26c1ed58cb6a7

6d7148b180367e84763690fc57cbd526433026f50dc0c029b00a714ba1660cd3

b712286d4d36c74fa32127f848b79cfb857fdc2b1c84bbbee285cf34752443a2

b45d8630d54c8d39e3554e0c5a71003d818617e07953520a8638f0935f04dc85

6e1434e0f8cd402f8acb0aade942c86d6b62cd6aa3927053f25fdf57ed384b47

7c7dc2065e295eb7ec60d1f8f552e455468e19e731ad20005833d71fa1371f50

hxxps[:]//arr-wd3463btrq-uc[.]a[.]run[.]app

hxxps[:]//storage[.]googleapis[.]com/alele/FAT.1705617082.zip

hxxps[:]//portu-wd3463btrq-uc[.]a[.]run[.]app

hxxps[:]//storage[.]googleapis[.]com/alele/Fat.184949849.zip

hxxp[:]//avfa-wd3463btrq-uc[.]a[.]run[.]app

hxxp[:]//factalia-ofh2cutija-uc[.]a[.]run[.]app

hxxp[:]//gasgas-wd3463btrq-uc[.]a[.]run[.]app

hxxp[:]//haergsd-wd3463btrq-uc[.]a[.]run[.]app

hxxp[:]//jx-krrdbo6imq-uc[.]a[.]run[.]app

hxxp[:]//ptb-wd3463btrq-uc[.]a[.]run[.]app

hxxp[:]//ptm-wd3463btrq-uc[.]a[.]run[.]app

hxxp[:]//pto-wd3463btrq-uc[.]a[.]run[.]app

hxxp[:]//w3iuwl[.]nextmax[.]my[.]id/?5/

hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?76849368130628733

hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?39829895502632947

hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?61694995802639066

hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?41991463280678058

hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?51999170290693658

hxxp[:]//wae4w[.]mariomanagement[.]biz[.]id/?75129547751613994arr-wd3463btrq-uc[.]a[.]run[.]app

portu-wd3463btrq-uc[.]a[.]run[.]app

xwago[.]creativeplus[.]my[.]id

wae4w[.]mariomanagement[.]biz[.]id

h4aowa[.]mariostrategy[.]my[.]id

yaiinr[.]actiongroup[.]my[.]id

e0aonr[.]creativeplus[.]my[.]id

wiae5[.]marioadvisory[.]my[.]id

caiiaf[.]businesswise[.]biz[.]id

2joafm[.]marioanalytics[.]my[.]id

nqaa8e[.]businesswise[.]biz[.]id

nweow8[.]mariostrategy[.]my[.]id

wba0s[.]produtoeletro[.]my[.]id

4hawb[.]produtoeletro[.]my[.]id

cua3e[.]mariosolutions[.]biz[.]id

eeiul[.]marioadvisory[.]my[.]id

kka5c[.]marioanalytics[.]my[.]id

w8oaa0[.]mariosolutions[.]biz[.]id

0tuiwp[.]mariomanagement[.]biz[.]id

lwafa[.]actiongroup[.]my[.]id

avfa-wd3463btrq-uc[.]a[.]run[.]app

factalia-ofh2cutija-uc[.]a[.]run[.]app

gasgas-wd3463btrq-uc[.]a[.]run[.]app

haergsd-wd3463btrq-uc[.]a[.]run[.]app

jx-krrdbo6imq-uc[.]a[.]run[.]app

ptb-wd3463btrq-uc[.]a[.]run[.]app

ptm-wd3463btrq-uc[.]a[.]run[.]app

pto-wd3463btrq-uc[.]a[.]run[.]app

1[.]tcp[.]sa[.]ngrok[.]io

https://blog.talosintelligence.com/google-cloud-run-abuse/