Güvenlik araştırmacıları, bilgisayar korsanlarının Google Cloud Run hizmetini kötüye kullanarak Astaroth, Mekotio ve Ousaban gibi büyük miktarda bankacılık truva atı dağıttığı konusunda uyarıyor.
Google Cloud Run, kullanıcıların ön uç ve arka uç hizmetlerini, web sitelerini veya uygulamalarını dağıtmasına, bir altyapıyı yönetme veya ölçeklendirme zahmetine girmeden iş yüklerini yönetmesine olanak tanır.
Cisco Talos araştırmacıları, Brezilyalı aktörlerin kötü amaçlı yazılım yüklerini dağıtmak için MSI yükleyici dosyalarını kullanan kampanyalar başlattığı Eylül 2023’ten itibaren, Google hizmetinin kötü amaçlı yazılım dağıtımı için kötüye kullanımında büyük bir artış gözlemledi.
Araştırmacıların raporunda, Google Cloud Run’ın maliyet etkinliği ve standart güvenlik bloklarını ve filtrelerini aşma yeteneği nedeniyle son zamanlarda siber suçlular için cazip hale geldiği belirtiliyor.
Saldırı zinciri
Saldırılar, potansiyel kurbanlara faturalar, mali tablolar veya yerel yönetim ve vergi kurumlarından gelen mesajlar için meşru iletişim olarak görünecek şekilde hazırlanmış kimlik avı e-postalarıyla başlıyor.
Araştırmacılar, kampanyadaki e-postaların çoğunun Latin Amerika’daki ülkeleri hedef aldığı için İspanyolca olduğunu, ancak kullanılan dilin İtalyanca olduğu durumlar da olduğunu söylüyor.
E-postalar, Google Cloud Run’da barındırılan kötü amaçlı web hizmetlerine yönlendiren bağlantılarla birlikte gelir.
Bazı durumlarda yük dağıtımı MSI dosyaları aracılığıyla yapılır. Diğer örneklerde hizmet, kötü amaçlı MSI dosyasının bulunduğu ZIP arşivinin depolandığı Google Cloud Storage konumuna 302 yönlendirmesi yapıyor.
Kurban kötü amaçlı MSI dosyalarını çalıştırdığında, yeni bileşenler ve veriler sisteme indirilir ve çalıştırılır.
Gözlemlenen durumlarda, ikinci aşama veri dağıtımı meşru Windows aracı ‘BITSAdmin’in kötüye kullanılmasıyla yapılıyor.
Son olarak kötü amaçlı yazılım, LNK dosyalarını (‘sysupdates.setup) ekleyerek yeniden başlatmalarda hayatta kalabilmek için kurbanın sisteminde kalıcılık oluşturur.
Kötü amaçlı yazılım ayrıntıları
Google Cloud Run’ı kötüye kullanan kampanyalar üç bankacılık truva atını içeriyor: Astaroth/Guildma, Mekotio ve Ousaban. Her biri sistemlere gizlice sızmak, kalıcılık sağlamak ve bankacılık hesaplarını ele geçirmek için kullanılabilecek hassas finansal verileri sızdırmak üzere tasarlandı.
Astaroth gelişmiş kaçınma teknikleriyle birlikte gelir. Başlangıçta Brezilyalı mağdurlara odaklanan saldırı, şu anda Latin Amerika’daki 15 ülkede 300’den fazla finans kuruluşunu hedef alıyor. Son zamanlarda kötü amaçlı yazılım, kripto para birimi değişim hizmetleri için kimlik bilgileri toplamaya başladı.
Tuş kaydı, ekran yakalama ve pano izlemeyi kullanan Astaroth, yalnızca hassas verileri çalmakla kalmıyor, aynı zamanda bankacılık bilgilerini ele geçirmek için internet trafiğini de engelliyor ve yönetiyor.
Mekotio da birkaç yıldır faaliyet gösteriyor ve Latin Amerika bölgesine odaklanıyor.
Bankacılık kimlik bilgilerini, kişisel bilgileri çalması ve sahte işlemler gerçekleştirmesiyle biliniyor. Ayrıca kullanıcıları kimlik avı sitelerine yönlendirmek için web tarayıcılarını da manipüle edebilir.
Son olarak Ousaban, sahte (yani klonlanmış) bankacılık portallarını kullanarak keylogging yapabilen, ekran görüntüleri yakalayabilen ve bankacılık kimlik bilgileri için kimlik avı yapabilen bir bankacılık truva atıdır.
Cisco Talos, Ousaban’ın Astaroth enfeksiyon zincirinin daha sonraki bir aşamasında teslim edildiğini ve bunun iki kötü amaçlı yazılım ailesinin operatörleri arasında potansiyel bir işbirliğine veya her ikisini de yöneten tek bir tehdit aktörüne işaret ettiğini belirtiyor.
Şirketin bu tehdide karşı koymak için ne yapmayı planladığıyla ilgili ayrıntılar için Google’a ulaştık ancak yayınlanma tarihine kadar bir yanıt alamadık.