ผู้ไม่ประสงค์ดีใช้ Google Cloud Run โจรกรรมข้อมูลจากเหยื่อและโจมตีธนาคารหลายแห่ง

        นักวิจัยด้านความปลอดภัยเตือนว่ามีผู้โจมตีใช้บริการ Google Cloud Run ด้วย Trojans ที่มีชื่อว่า Astaroth, Mekotio, และ Ousaban

        Google Cloud Run ปรับการบริการในฝัง frontend และ backend บนเว็บไซต์ แอปพลิเคชัน โดยไม่มีการปรับเปลี่ยนโครงสร้าง

        นักวิจัยจาก Cisco Talos สังเกตพบว่ามีการโจมตีด้วย Trojans เพิ่มมากขึ้นในช่วงเดือนกันยายน 2566 จากโฆษณาที่มีการฝัง malware รูปแบบไฟล์ติดตั้ง MSI ที่ประเทศบราซิล

        รายงานของนักวิจัยระบุว่า Google Cloud Run เป็นเครื่องมือที่น่าสนใจจากผู้ไม่ประสงค์ดีเนื่องจากมีราคาประหยัดและสามารถหลบหลีกการตรวจจับความปลอดภัยและจำกัดสิทธิ์การใช้งานได้

        ผู้ไม่ประสงค์ดีเริ่มต้นโจมตีด้วยอีเมล์ล่อลวงให้ข้อมูลที่คล้ายคลึงกับความจริง  เช่น  ใบแจ้งหนี้  เอกสารทางการเงิน    หรือข้อความจากหน่วยงานรัฐและใบกำกับภาษีต่าง ๆ ในอีเมล์ล่อลวงส่วนมากเป็นภาษาสเปน เนื่องจากมีเป้าหมายในกลุ่มประเทศในลาตินอเมริกา และภาษาอิตาลี

        โดยอีเมล์จะมาพร้อมลิงก์ไปยังเว็บไซต์ปลอมของ Google Cloud Run แต่ในบางกรณี จะโหลดเป็นไฟล์ MSI และในกรณีอื่น ลิงก์จะไปยังหน้าเว็บไซต์ Google Cloud Storage ที่เก็บไฟล์ ZIP ที่มีไฟล์ MSI ข้างในที่เป็น Malware เมื่อเหยื่อเปิดไฟล์ MSI ที่เป็นเป็น Malware ส่วนประกอบและโหลดเพิ่มเติมจะถูกดาวน์โหลดและถูกรันบนเครื่องผู้ใช้งาน

        โดยสามารถใช้เครื่องมือ Windows   BITSAdmin   ตรวจสอบควบคุมและจัดการกับงานการโอนย้ายข้อมูลที่ทำงานในพื้นหลังที่ถูกส่งผ่านอินเตอร์เน็ตได้

          Malware  จะทำการรเพิ่มไฟล์  .lnk (sysupdates.setup<random_string>.lnk)   ในโฟลเดอร์   Startup   กำหนดค่าให้ดำเนินการคำสั่ง PowerShell เพื่อฝัง Malware AutoIT ให้อยู่บนเครื่องของเหยื่อต่อไปได้

รายละเอียดของ Malware 

        โฆษณาหรืออีเมลที่ใช้ Google Cloud Run ที่ฝัง Malware เพื่อโจมตีด้วย Trojans คือ Astaroth/Guildma, Mekotio, Ousaban  โดยจะถูกฝังที่เครื่องเหยื่อเพื่อโจรกรรมข้อมูลของเหยื่อ

        Malware Astaroth  สามารถหลีกเลี่ยงจากระบบความปลอดภัยขั้นสูงได้  โดยจากเหตุการณ์เหยื่อในบราซิลกว่า  300 สถาบันการเงิน และในอีก 15 ประเทศในแถบลาตินอเมริกา และล่าสุดมัลแวร์เริ่มเก็บข้อมูลการให้บริการกับบริการแลกเปลี่ยนเงินตราดิจิทัล

        Malware Astaroth สามารถหลีกเลี่ยงจากระบบความปลอดภัยขั้นสูงได้ โดยจากเหตุการณ์เหยื่อในบราซิลกว่า 300 สถาบันการเงิน และในอีก 15 ประเทศในแถบลาตินอเมริกา และล่าสุดมัลแวร์เริ่มเก็บข้อมูลการให้บริการกับบริการแลกเปลี่ยนเงินตราดิจิทัล 

        การใช้งาน keylogging, screen capture, และ clipboard monitoring ทำให้ Astaroth ไม่เพียงแค่ขโมยข้อมูลที่ละเอียดอ่อนของเหยื่อได้ แต่ยังสามารถดักจับและจัดการส่งข้อมูลในอินเตอร์เน็ตเพื่อจับข้อมูลการเข้าสู่ระบบธนาคาร 

        Mekotio มีการโจมตีโจรกรรมมข้อมูลของเหยื่อเป้าหมายหลักในประเทศในแถบลาตินอเมริกา โดยจะโจรกรรม ข้อมูลการเข้าสู่ระบบธนาคาร ข้อมูลส่วนบุคคล ข้อมูลทางธุรกิจต่าง ๆ และยังล่อลวงผู้ใช้งานผ่านลิงก์เพื่อฝัง Malware

        สุดท้าย Ousaban เป็น Malware ที่สามารถโจรกรรมข้อมูล keylogging, capture screenshots, phishing ให้กับข้อมูลการเข้าสู่ระบบธนาคารโดยใช้ fake เช่น ปลอมแปลงเว็บไซต์ธนาคารให้เหยื่อหลงเชื่อ 

        Cisco Talos ระบุว่า Ousaban ส่งต่อข้อมูลให้กับ Astaroth เป็นการบ่งชี้ถึงความร่วมมือระหว่างผู้ไม่ประสงค์ดีทั้งสองในการโจมตีด้วย Malware หรืออาจเป็นผู้ไม่ประสงค์ดีกลุ่มเดียวที่แยกออกเป็นสองกลุ่ม

Ref : bleepingcomputer