Новости Невидимый вирус: бессерверное ПО захлестнуло Латинскую Америку

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Как влияет на бизнес злоупотребление Google Cloud.


1rjtvv6u8g6w1rdkwgn5tlgfsrj5o7yw.jpg


В Латинской Америке выявлена финансово мотивированная группа хакеров под кодовым названием FLUXROOT, которая использует бессерверные проекты Google Cloud для организации фишинговых атак. Атаки направлены на кражу учетных данных, что подчеркивает злоупотребление моделью облачных вычислений в злонамеренных целях.

По Для просмотра ссылки Войди или Зарегистрируйся Google, бессерверные архитектуры привлекательны для разработчиков и предприятий благодаря своей гибкости, экономичности и простоте использования. Такие же характеристики делают их привлекательными и для злоумышленников, которые используют данные сервисы для доставки и взаимодействия со своим вредоносным ПО, размещения и направления пользователей на фишинговые страницы, а также выполнения вредоносных скриптов, специально адаптированных для бессерверной среды.

В рамках кампании использовались URL-адреса контейнеров Google Cloud для размещения фишинговых страниц, направленных на сбор учетных данных пользователей популярной в Латинской Америке платформы онлайн-платежей Mercado Pago .


3ba0lhpzhvauvwqnh17ncwzpxp52tha2.png


Фишинговая страница Mercado Pago

FLUXROOT известна распространением банковского трояна Grandoreiro, а ранее группа использовала облачные сервисы Microsoft Azure и Dropbox для распространения своего вредоносного ПО.

Помимо FLUXROOT, инфраструктура Google Cloud также была использована другой хакерской группой PINEAPPLE для распространения вредоносного ПО Для просмотра ссылки Войди или Зарегистрируйся (Guildma). Атаки нацелены на бразильских пользователей.

PINEAPPLE создавала URL-адреса контейнеров на легитимных доменах Google Cloud (cloudfunctions[.]net и run.app) с целью перенаправления жертв на вредоносные ресурсы, где происходило заражение Astaroth.

Злоумышленники также пытались обойти защиту почтовых шлюзов, используя сервисы пересылки почты, которые не отбрасывают сообщения с неудачными записями Sender Policy Framework (SPF), или добавляя неожиданные данные в поле Return-Path протокола SMTP, чтобы инициировать тайм-аут запроса DNS и вызвать сбой проверки аутентификации электронной почты.

Google приняла меры по снижению активности хакеров, удаляя вредоносные проекты Google Cloud и обновляя свои Для просмотра ссылки Войди или Зарегистрируйся безопасного просмотра. Злоупотребление облачными сервисами и инфраструктурой хакерами стало следствием активного внедрения облачных технологий в различных отраслях.
 
Источник новости
www.securitylab.ru

Похожие темы