Büyük ölçekli kötü amaçlı yazılım dağıtım kampanyaları, Astaroth (Guildma olarak da bilinir), Mekotio ve Ousaban dahil olmak üzere bankacılık truva atlarını Avrupa ve Latin Amerika hedeflerine iletmek için Google Cloud Run’ı kötüye kullanıyor.
Cloud Run ile, tümüyle yönetilen bir platform sayesinde kodunuzu Google’ın ölçeklenebilir altyapısı üzerinde hızlı bir şekilde çalıştırabilirsiniz. Altyapı yönetimi gerektirmeden ön uç ve arka uç hizmetlerinin, toplu işlemenin, web sitesi ve uygulama dağıtımının ve görev sıraya almanın çalıştırılmasına olanak tanır.
300.000’den fazla analist ANY.RUN’u kullanıyor, dünya çapında bir kötü amaçlı yazılım analiz sanal alanıdır. En önemli tehditlere ilişkin derinlemesine araştırmalar yürütmek ve davranışlarına ilişkin ayrıntılı raporlar toplamak için topluluğa katılın.
Ücretsiz Demo Talep Edin
Özellikle Eylül 2023’ten sonra bu çabalarla ilgili e-postaların miktarı önemli ölçüde arttı ve uzmanlar hâlâ rutin olarak yeni e-posta dağıtım kampanyaları görmeye devam ediyor.
Google Cloud Run’dan Yararlanan E-postalar
E-postaların büyük çoğunluğunun İspanyolca olarak gönderilmesi nedeniyle, bu kampanyalarda görülen e-postaların dil dağılımı da LATAM’a güçlü bir yoğunlaşma olduğunu gösteriyor. Ayrıca İtalyanca konuşan mağdurların düşük hacimli faaliyetlerin hedefi olduğu da görülüyor.
Cisco Talos araştırmacıları Cyber Security News ile şunları paylaştı: “Bu e-postalar, faturalar veya mali ve vergi belgeleriyle ilgili temalar kullanılarak gönderiliyor ve bazen hedeflenen ülkedeki yerel yönetim vergi kurumundan gönderiliyormuş gibi görünüyor.”
Bir vakada e-postanın, son dönemdeki malspam operasyonlarının odak noktası olan Arjantin’in yerel vergi dairesi Federal Kamu Gelirleri İdaresi’nden (AFIP) geldiği görülüyor.
Çalıştırmayı kullanma[.]üst düzey alan adı (TLD), e-posta URL’lerini tanımlayarak Google Cloud Run’a yönlendiren uygulamadır.
Kurbanlar bu URL’lere tıkladıklarında tehdit aktörlerinin Cloud Run web hizmetlerine yönlendirilir ve burada enfeksiyon sürecini başlatmak için gereken dosyaları alırlar.
Araştırmacılar, Astaroth ve Mekotio’nun bu şekilde dağıtımını gözlemlediler; bu dosyalar, bulaşma sürecini başlatmak için Aşama 1 yükü görevi gören kötü amaçlı Microsoft Installers (MSI) dosyaları olarak gönderildi.
Aşağıda gösterilen Mekotio senaryosunda, MSI dosya tesliminin kaynağı genellikle düşmanın Google Cloud Run web hizmetidir.
Bazı durumlarda Google Cloud Run web hizmeti, Google Cloud dosya konumuna (hxxps) 302 yönlendirmesiyle yanıt verir.[:]//depolamak[.]googleapis[.]com). Yönlendirmenin sonucu olarak teslim edilen ZIP arşivinde kötü amaçlı bir MSI bulunuyor.
2020 Cisco Talos değerlendirmesine göre Astaroth, çeşitli etkili anti-analiz/kaçınma stratejileri kullanıyor. Astaroth, YouTube kanallarının açıklamalarını kullanarak komuta ve kontrol iletişimlerini (C2) kodlamak ve şifrelemek için akıllı bir yöntem oluşturdu.
Araştırmacılar, “Bir hedef banka açıksa, kötü amaçlı yazılım, tuş vuruşlarını kaydedebilir ve kullanıcı ekrana tıkladığında fare işaretçisinin etrafındaki ekranın ekran görüntülerini alabilir” dedi.
Tarihsel olarak Latin Amerika’daki kurbanları hedef alan bir diğer bankacılık truva atı Mekotio’dur. Amacı, güvenliği ihlal edilmiş sistemlerden gizli finansal verileri çıkarmaktır.
Qusaban, kimlik avı e-postalarına yayılan kötü amaçlı MSI dosyaları yoluyla gönderiliyor ve finansal kuruluşlardan hassas veriler çalınıyor
Araştırmacılar, “Üç kötü amaçlı yazılım ailesinin tamamının Google Cloud’daki aynı depolama grubundan aynı zaman diliminde teslim edildiğini gözlemledik” dedi.
Bu, çakışan dağıtım TTP’leriyle birlikte, kötü amaçlı yazılım ailelerinin dağıtım çabalarını yürüten tehdit aktörleri arasındaki işbirliğine veya bağlantılara işaret edebilir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.