Ένας παράγοντας απειλής που δραστηριοποιείται στη Λατινική Αμερική (LATAM), γνωστός ως FLUXROOT, εντοπίστηκε να χρησιμοποιεί serverless έργα του Google Cloud για να οργανώσει επιθέσεις credential phishing.
Αυτό υπογραμμίζει την εκμετάλλευση του cloud μοντέλου για κακόβουλους σκοπούς.
“Οι serverless τακτικές είναι ελκυστικές για τους προγραμματιστές και τις επιχειρήσεις λόγω της ευελιξίας, της αποδοτικότητας κόστους και της ευκολίας χρήσης τους”, ανέφερε η Google στην εξαμηνιαία Αναφορά Threat Horizons [PDF], που δημοσιεύτηκε στο The Hacker News. Οι ίδιες αυτές δυνατότητες καθιστούν και τις υπηρεσίες υπολογιστών χωρίς servers ελκυστικές για παράγοντες απειλών, οι οποίοι τις χρησιμοποιούν για να διανέμουν και να επικοινωνούν με το κακόβουλο λογισμικό τους, να φιλοξενούν σελίδες phishing και να εκτελούν κακόβουλα σενάρια ειδικά προσαρμοσμένα για περιβάλλον χωρίς server.
Διαβάστε επίσης: Νέα phishing καμπάνια υποδύεται το τμήμα HR της εταιρείας σας
StealC: Κατάχρηση kiosk mode του browser για κλοπή password
Λογισμικό ακουστικών βαρηκοΐας εγκρίθηκε για τα AirPods Pro
OpenAI o1: Νέο AI μοντέλο "σκέφτεται" σαν άνθρωπος
Η καμπάνια περιλάμβανε τη χρήση διευθύνσεων URL container του Google Cloud για φιλοξενία phishing σελίδων, με στόχο τη συλλογή στοιχείων σύνδεσης που σχετίζονται με το Mercado Pago, μια δημοφιλή διαδικτυακή πλατφόρμα πληρωμών στην περιοχή LATAM.
Σύμφωνα με την Google, το FLUXROOT είναι γνωστό για τη διανομή του τραπεζικού trojan Grandoreiro, ενώ πρόσφατες καμπάνιες του εκμεταλλεύονται επίσης νόμιμες cloud υπηρεσίες όπως το Microsoft Azure και το Dropbox για τη διανομή κακόβουλου λογισμικού.
Ξεχωριστά, η υποδομή cloud της Google έχει καταστεί στόχος από έναν αντίπαλο ονόματι PINEAPPLE, ο οποίος διαδίδει το κακόβουλο λογισμικό Astaroth (γνωστό και ως Guildma) σε επιθέσεις που στοχεύουν Βραζιλιάνους χρήστες.
“Η PINEAPPLE χρησιμοποίησε παραβιασμένες παρουσίες Google Cloud και έργα Google Cloud που δημιούργησαν οι ίδιοι για τη δημιουργία διευθύνσεων URL κοντέινερ σε νόμιμους τομείς του Google Cloud, όπως το cloudfunctions[.]net και το run.app”, ανέφερε η Google. “Τα URL φιλοξενούσαν σελίδες προορισμού που ανακατεύθυναν στόχους σε κακόβουλη υποδομή που διανέμει το Astaroth.”
Επιπλέον, ο χάκερ προσπάθησε να παρακάμψει την προστασία εισόδου στο email, χρησιμοποιώντας υπηρεσίες προώθησης αλληλογραφίας που δεν απορρίπτουν μηνύματα με αποτυχημένες εγγραφές του SPF (Sender Policy Framework) ή ενσωματώνοντας απροσδόκητα δεδομένα στο πεδίο SMTP Return-Path για να ορίσει χρονικό διάστημα λήξης DNS και αποτυχία των ελέγχων ταυτότητας email.
Η Google δήλωσε ότι έχει λάβει μέτρα για να μετριάσει αυτές τις δραστηριότητες, αφαιρώντας τα κακόβουλα έργα Google Cloud και ενημερώνοντας τις λίστες ασφαλούς περιήγησής της.
Η χρήση υπηρεσιών και υποδομών cloud από απειλητικούς παράγοντες – από παράνομη εξόρυξη κρυπτονομισμάτων λόγω αδύναμων διαμορφώσεων μέχρι ransomware – έχει ενισχυθεί λόγω της αυξημένης υιοθέτησης του cloud σε όλους τους κλάδους.
Δείτε περισσότερα: Η MacPaw εισάγει εντοπισμό phishing για ασφάλεια σε Mac
Αυτή η προσέγγιση επιτρέπει στους αντιπάλους να μιμούνται κανονικές δραστηριότητες δικτύου, καθιστώντας τον εντοπισμό τους πολύ πιο δύσκολο.
«Οι χάκερς εκμεταλλεύονται την ευελιξία και την ευκολία ανάπτυξης πλατφορμών χωρίς servers για τη διανομή κακόβουλου λογισμικού και τη φιλοξενία phishing σελίδων», δήλωσε η εταιρεία. «Οι χάκερς που κάνουν κατάχρηση υπηρεσιών cloud αλλάζουν συνεχώς τις τακτικές τους ως απάντηση στα μέτρα εντοπισμού και μετριασμού των αμυντικών».
Πηγή: thehackernews