Cisco Talos stelde onlangs vast dat Google Cloud Run massaal wordt misbruikt. Aanvallers gebruiken deze dienst voor het distribueren van hoge volumes aan banking trojans, vooral om financiële instellingen in Latijns-Amerika te bestoken.
Uit recent onderzoek van Cisco Talos blijkt dat cybercriminelen al vanaf september 2023 massaal de Google Cloud Run-dienst misbruiken voor het distribueren van banking trojans. Met Google Cloud Run kunnen gebruikers front- en back-enddiensten, websites of applicaties uitrollen. De dienst handelt deze workloads af zonder dat daarvoor infrastructuur of schaalbaarheid moet worden beheerd.
De onderzoekers van Cisco Talos stellen dat deze clouddienst bij de verspreiders van de banking-malware zeer populair is. Dit is met name vanwege de relatief lage kosten en de mogelijkheid om standaard security-blokkeringen en -filters te omzeilen.
Aanvalspad
Cybercriminelen gebruiken de dienst als vehikel voor het hosten van kwaadaardige websites of -diensten. Slachtoffers worden via phishing, met berichten die eruit zien als legitieme communicatie of facturen, overgehaald op links te klikken. Deze leiden naar de op Google Cloud Run gehoste kwaadaardige diensten; daar wordt vervolgens de kwaadaardige payload geïnstalleerd.
Soms wordt de payload ook afgeleverd via MSI-bestanden. Dit gebeurt bijvoorbeeld doordat Google Cloud Run een 302-redirect geeft naar een Google Cloud Storage-locatie waar een ZIP-betand met een kwaadaardig MSI-bestand is opgeslagen.
Vooral Latijns-Amerikaanse slachtoffers
De malwarecampagne richt zich vooral op bedrijven in Latijns-Amerika, maar ook organisaties binnen de VS, in Europese landen en in Zuid-Afrika zijn doelwit.
Via Google Cloud Run distribueren de cybercriminelen vooral drie specifieke banking trojans; Astaroth, Mekotio en Ousaban. Onder meer de Astaroth-trojan is een beruchte banking trojan. Deze kan specifiek op landen of bedrijven worden aangepast.
In de ontdekte campagne richtte deze trojan zich eerst op slachtoffers uit Brazilië, maar nu ook op 300 financiële instellingen in 15 Latijns-Amerikaanse landen. Zo werden ook inloggegevens voor crypto-exchangediensten buitgemaakt.
Google Cloud onderzoekt probleem
Google Cloud is inmiddels van de kwetsbaarheid in Google Cloud Run op de hoogte. Men geeft in een commentaar aan Bleeping Computer de inbreuk te onderzoeken. De kwaadaardige links zouden door Google Cloud inmiddels zijn verwijderd.
Lees ook: Nederlandse politie haalt Babuk Tortilla-ransomware uit de lucht