Riscontro di aumenti nell’abuso di Google Cloud Run da parte di cybercriminali per la diffusione di trojan bancari.
Recenti analisi segnalano un aumento preoccupante nell’abuso di Google Cloud Run, servizio offerto da Google per l’esecuzione di servizi online senza la necessità di gestire l’infrastruttura. Hacker di diversa provenienza stanno utilizzando questa piattaforma per implementare attacchi cybernertici orientati alla distribuzione di trojan bancari noti, tra cui Astaroth, Mekotio e Ousaban, con pericolose conseguenze per gli utenti a livello globale, Italia compresa.
Il meccanismo di attacco sfrutta e-mail phishing inviate alle potenziali vittime, simulate con estrema cura per apparire come documenti ufficiali come avvisi bancari o comunicazioni governative. Questi attacchi sembrano focalizzati principalmente nell’area del Sud America, con e-mail in spagnolo, ma non mancano gli attacchi rivolti a utenti italiani. Le e-mail contengono link che conducono le vittime verso pagine web dannose ospitate su Google Cloud Run, con lo scopo di eseguire i trojan bancari tramite file distruttivi.
Una volta che gli utenti accedono a questi link, possono riscontrare una serie di azioni dannose. Ad esempio, si può verificare il reindirizzamento verso Google Cloud Storage, dove è presente un file ZIP contenente il malevolo file MSI. Una volta avviato, questo file innescerà il download di componenti trojan che verranno installati sul sistema tramite l’utilizzo di BITSAdmin, uno strumento legittimo di Windows.
Il grado di pericolosità di questi trojan bancari è notevole. Astaroth, per esempio, utilizza metodi sofisticati per sfuggire al rilevamento e ha esteso la sua azione da attacchi mirati al Brasile a una presenza in più di 300 istituzioni finanziarie sparse in 15 paesi. Non solo ruba dati, ma monitora il traffico Internet per impossessarsi di credenziali bancarie.
Allo stesso modo, Mekotio da anni mira agli utenti in America Latina, effettuando transazioni bancarie fraudolente. Ousaban, infine, utilizza tecniche di phishing per induire le vittime ad inserire dati su portali bancari contraffatti, spesso inserito nelle fasi più avanzate dell’attacco portato da Astaroth, suggerendo un possibile collegamento tra i due malware.
I servizi cloud hanno numerosi vantaggi ma, come evidenziato da questo tipo di attacchi, possono essere sfruttati anche per scopi malevoli. La risposta di Google a seguito di questi report ha comportato l’eliminazione dei link sospetti e la promessa di implementare misure di sicurezza rafforzate per combattere questi abusi e salvaguardare i propri utenti.