24/07/24
В Латинской Америке выявлена финансово мотивированная группа хакеров под кодовым названием FLUXROOT, которая использует бессерверные проекты Google Cloud для организации фишинговых атак. Атаки направлены на кражу учетных данных, что подчеркивает злоупотребление моделью облачных вычислений в злонамеренных целях, пишет Securitylab.
По данным Google, бессерверные архитектуры привлекательны для разработчиков и предприятий благодаря своей гибкости, экономичности и простоте использования. Такие же характеристики делают их привлекательными и для злоумышленников, которые используют данные сервисы для доставки и взаимодействия со своим вредоносным ПО, размещения и направления пользователей на фишинговые страницы, а также выполнения вредоносных скриптов, специально адаптированных для бессерверной среды.
В рамках кампании использовались URL-адреса контейнеров Google Cloud для размещения фишинговых страниц, направленных на сбор учетных данных пользователей популярной в Латинской Америке платформы онлайн-платежей Mercado Pago.
FLUXROOT известна распространением банковского трояна Grandoreiro, а ранее группа использовала облачные сервисы Microsoft Azure и Dropbox для распространения своего вредоносного ПО.
Помимо FLUXROOT, инфраструктура Google Cloud также была использована другой хакерской группой PINEAPPLE для распространения вредоносного ПО Astaroth (Guildma). Атаки нацелены на бразильских пользователей.
PINEAPPLE создавала URL-адреса контейнеров на легитимных доменах Google Cloud (cloudfunctions[.]net и run.app) с целью перенаправления жертв на вредоносные ресурсы, где происходило заражение Astaroth.
Злоумышленники также пытались обойти защиту почтовых шлюзов, используя сервисы пересылки почты, которые не отбрасывают сообщения с неудачными записями Sender Policy Framework (SPF), или добавляя неожиданные данные в поле Return-Path протокола SMTP, чтобы инициировать тайм-аут запроса DNS и вызвать сбой проверки аутентификации электронной почты.
