Cybersecurity-onderzoekers waarschuwen voor een piek in het aantal e-mailphishing-campagnes die de Google Cloud Run-service als wapen gebruiken om verschillende banktrojans zoals Astaroth (ook bekend als Guildma), Mekotio en Ousaban (ook bekend als Javali) te leveren aan doelen in Latijns-Amerika (LATAM) en Europa .
“De infectieketens die verband houden met deze malwarefamilies maken gebruik van kwaadaardige Microsoft Installers (MSI’s) die fungeren als droppers of downloaders voor de uiteindelijke malware-payload(s)”, maakten onderzoekers van Cisco Talos vorige week bekend.
Bij de grootschalige distributiecampagnes voor malware, die sinds september 2023 worden waargenomen, wordt voor de verspreiding dezelfde opslagbucket binnen Google Cloud gebruikt, wat wijst op mogelijke verbanden tussen de dreigingsactoren achter de distributiecampagnes.
Google Cloud Run is een beheerd computerplatform waarmee gebruikers frontend- en backend-services kunnen uitvoeren, taken in batches kunnen uitvoeren, websites en applicaties kunnen implementeren en productietaken in de wachtrij kunnen plaatsen zonder de infrastructuur te hoeven beheren of schalen.
“Tegenstanders kunnen Google Cloud Run zien als een goedkope, maar effectieve manier om distributie-infrastructuur in te zetten op platforms waar de meeste organisaties waarschijnlijk geen toegang toe hebben tot interne systemen”, aldus de onderzoekers.
Het merendeel van de systemen die worden gebruikt om phishing-berichten te verzenden, is afkomstig uit Brazilië, gevolgd door de VS, Rusland, Mexico, Argentinië, Ecuador, Zuid-Afrika, Frankrijk, Spanje en Bangladesh. De e-mails hebben thema’s die verband houden met facturen of financiële en belastingdocumenten, waarbij in sommige gevallen wordt beweerd dat ze afkomstig zijn van lokale belastingdiensten.
In deze berichten zijn links opgenomen naar een website die wordt gehost op Run[.]app, resulterend in de levering van een ZIP-archief met daarin een kwaadaardig MSI-bestand, rechtstreeks of via 302-omleidingen naar een Google Cloud Storage-locatie, waar het installatieprogramma is opgeslagen.
Er is ook waargenomen dat de bedreigingsactoren detectie proberen te omzeilen met behulp van geofencing-trucs door bezoekers naar deze URL’s om te leiden naar een legitieme site zoals Google wanneer ze deze bezoeken met een Amerikaans IP-adres.
Naast het gebruik van dezelfde infrastructuur om zowel Mekotio als Astaroth te leveren, fungeert de infectieketen die bij laatstgenoemde hoort als kanaal voor de distributie van Ousaban.
Astaroth, Mekotio en Ousaban zijn allemaal ontworpen om financiële instellingen te onderscheiden, de surfactiviteit van gebruikers in de gaten te houden, toetsaanslagen te registreren en schermafbeeldingen te maken als een van de websites van de doelbank open is.
Ousaban heeft een geschiedenis van het in zijn voordeel inzetten van clouddiensten, waarbij hij eerder Amazon S3 en Microsoft Azure gebruikte om tweede-fase-payloads te downloaden, en Google Docs om command-and-control (C2)-configuratie op te halen.
De ontwikkeling komt te midden van phishing-campagnes die malwarefamilies zoals DCRat, Remcos RAT en DarkVNC verspreiden die in staat zijn gevoelige gegevens te verzamelen en de controle over gecompromitteerde hosts over te nemen.
Het volgt ook op een toename van het aantal bedreigingsactoren die QR-codes inzetten bij phishing- en e-mailgebaseerde aanvallen (ook wel quishing genoemd) om potentiële slachtoffers te misleiden om malware op hun mobiele apparaten te installeren.
“Bij een afzonderlijke aanval stuurden de tegenstanders spear-phishing-e-mails met kwaadaardige QR-codes die verwezen naar valse Microsoft Office 365-inlogpagina’s die uiteindelijk de inloggegevens van de gebruiker stelen wanneer ze worden ingevoerd”, aldus Talos.
“Aanvallen met QR-code zijn bijzonder gevaarlijk omdat ze de aanvalsvector van een beschermde computer naar het persoonlijke mobiele apparaat van het doelwit verplaatsen, dat meestal over minder beveiligingsmaatregelen beschikt en uiteindelijk over de gevoelige informatie beschikt waar aanvallers op uit zijn.”
Phishingcampagnes hebben hun ogen ook op de olie- en gassector gericht om een informatiedief in te zetten genaamd Rhadamanthys, die momenteel versie 0.6.0 heeft bereikt, wat een gestage stroom patches en updates door zijn ontwikkelaars benadrukt.
“De campagne begint met een phishing-e-mail met behulp van een rapport over voertuigincidenten om slachtoffers te verleiden tot interactie met een ingesloten link die misbruik maakt van een open omleiding op een legitiem domein, voornamelijk Google Maps of Google Afbeeldingen”, aldus Cofense.
Gebruikers die op de link klikken, worden vervolgens doorgestuurd naar een website die een nep-PDF-bestand host, wat in werkelijkheid een klikbare afbeelding is die contact maakt met een GitHub-repository en een ZIP-archief downloadt met het uitvoerbare bestand van de stealer.
“Zodra een slachtoffer probeert te communiceren met het uitvoerbare bestand, zal de malware uitpakken en een verbinding tot stand brengen met een command-and-control (C2)-locatie die alle gestolen inloggegevens, cryptocurrency-portefeuilles of andere gevoelige informatie verzamelt”, voegde het bedrijf eraan toe.
Andere campagnes hebben misbruik gemaakt van e-mailmarketingtools zoals Twilio’s SendGrid om mailinglijsten van klanten te verkrijgen en misbruik te maken van gestolen inloggegevens om overtuigend ogende phishing-e-mails te verzenden, aldus Kaspersky.
“Wat deze campagne bijzonder verraderlijk maakt, is dat de phishing-e-mails de traditionele beveiligingsmaatregelen omzeilen”, merkte het Russische cyberbeveiligingsbedrijf op. “Omdat ze via een legitieme dienst worden verzonden en geen duidelijke tekenen van phishing bevatten, kunnen ze detectie door automatische filters omzeilen.”
Deze phishing-activiteiten worden verder aangewakkerd door de gemakkelijke beschikbaarheid van phishing-kits zoals Greatness en Tycoon, die een kosteneffectief en schaalbaar middel zijn geworden voor aspirant-cybercriminelen om kwaadaardige campagnes op te zetten.
“Tycoongroep [phishing-as-a-service] wordt op Telegram verkocht en op de markt gebracht voor slechts $ 120”, zei Trustwave SpiderLabs-onderzoeker Rodel Mendrez vorige week, waarbij hij opmerkte dat de dienst voor het eerst rond augustus 2023 tot stand kwam.
“De belangrijkste verkoopkenmerken zijn onder meer de mogelijkheid om de tweefactorauthenticatie van Microsoft te omzeilen, ‘linksnelheid op het hoogste niveau’ te bereiken en Cloudflare in te zetten om antibotmaatregelen te omzeilen, waardoor de persistentie van onopgemerkte phishing-links wordt gegarandeerd.”
