Een financieel gemotiveerde acteur uit Latijns-Amerika (LATAM) met de codenaam FLUXWORTEL Er is waargenomen dat serverloze projecten van Google Cloud worden gebruikt om phishingactiviteiten naar inloggegevens te orkestreren, wat het misbruik van het cloudcomputingmodel voor kwaadaardige doeleinden benadrukt.
“Serverloze architecturen zijn aantrekkelijk voor ontwikkelaars en ondernemingen vanwege hun flexibiliteit, kosteneffectiviteit en gebruiksgemak”, aldus Google in het tweejaarlijkse Threat Horizons Report (PDF) dat werd gedeeld met The Hacker News.
“Dezezelfde kenmerken maken serverloze computerservices voor alle cloudproviders aantrekkelijk voor kwaadwillenden. Zij gebruiken deze services om malware te leveren en ermee te communiceren, om phishingpagina’s te hosten en gebruikers ernaartoe te leiden, en om malware en schadelijke scripts uit te voeren die speciaal zijn ontworpen voor gebruik in een serverloze omgeving.”
De campagne omvatte het gebruik van Google Cloud-container-URL’s om phishingpagina’s met inloggegevens te hosten. Het doel was om inloggegevens te verzamelen die gekoppeld waren aan Mercado Pago, een online betaalplatform dat populair is in de regio Latijns-Amerika.
Volgens Google is FLUXROOT de dreigingsactor die bekendstaat om het verspreiden van de Grandoreiro banking trojan. Bij recente campagnes wordt ook misbruik gemaakt van legitieme cloudservices zoals Microsoft Azure en Dropbox om de malware te verspreiden.
Daarnaast is de cloudinfrastructuur van Google ook misbruikt door een andere vijand, genaamd PINEAPPLE, om een andere stealer-malware te verspreiden, bekend als Astaroth (ook bekend als Guildma), als onderdeel van aanvallen die gericht zijn op Braziliaanse gebruikers.
“PINEAPPLE gebruikte gecompromitteerde Google Cloud-instanties en Google Cloud-projecten die ze zelf hadden gemaakt om container-URL’s te maken op legitieme serverloze Google Cloud-domeinen zoals cloudfunctions(.)net en run.app”, merkte Google op. “De URL’s hostten landingspagina’s die doelen omleidden naar kwaadaardige infrastructuur die Astaroth liet vallen.”
Bovendien zou de kwaadwillende partij geprobeerd hebben de beveiliging van de e-mailgateway te omzeilen door gebruik te maken van e-maildoorstuurservices die geen berichten met mislukte SPF-records (Sender Policy Framework) verwijderen, of door onverwachte gegevens in het SMTP Return-Path-veld op te nemen om zo een time-out voor een DNS-aanvraag te activeren en ervoor te zorgen dat de e-mailauthenticatiecontroles mislukken.
De zoekgigant zei dat het maatregelen heeft genomen om de activiteiten te beperken door de schadelijke Google Cloud-projecten te verwijderen en de Safe Browsing-lijsten bij te werken.
De bewapening van clouddiensten en -infrastructuur door kwaadwillenden – variërend van illegale cryptocurrency-mining als gevolg van zwakke configuraties tot ransomware – is aangewakkerd door de toegenomen acceptatie van de cloud in verschillende sectoren.
Bovendien heeft deze aanpak het extra voordeel dat kwaadwillenden zich kunnen mengen in de normale netwerkactiviteiten, waardoor detectie een stuk lastiger wordt.
“Dreigingsactoren maken gebruik van de flexibiliteit en het gemak van implementatie van serverloze platforms om malware te verspreiden en phishingpagina’s te hosten”, aldus het bedrijf. “Dreigingsactoren die cloudservices misbruiken, veranderen hun tactieken als reactie op de detectie- en mitigatiemaatregelen van verdedigers.”
