Cybersicherheitsforscher warnen vor einem Anstieg von E-Mail-Phishing-Kampagnen, die den Google Cloud Run-Dienst nutzen, um verschiedene Banking-Trojaner wie Astaroth (auch bekannt als Guildma), Mekotio und Ousaban (auch bekannt als Javali) an Ziele in Lateinamerika (LATAM) und Europa zu liefern.
Die Malware-Verbreitungskampagnen hoher Häufigkeit, die seit September 2023 beobachtet werden, haben denselben Speicherbereich in Google Cloud für die Verbreitung genutzt und deuten auf potenzielle Verbindungen zwischen den Bedrohungsakteuren hinter den Verbreitungskampagnen hin.
Die Phishing-Mitteilungen haben vor allem Brasilien, gefolgt von den USA, Russland, Mexiko, Argentinien, Ecuador, Südafrika, Frankreich, Spanien und Bangladesch als Herkunftsstandorte. Die E-Mails haben Themen wie Rechnungen, Finanz- und Steuerdokumente und behaupten in einigen Fällen von lokalen Regierungssteuerbehörden zu stammen.
Die E-Mails enthalten Links zu einer Website, die auf run[.]app gehostet wird, was zur Lieferung eines ZIP-Archivs führt, das eine bösartige MSI-Datei enthält, direkt oder über 302-Weiterleitungen zu einem Google Cloud-Speicherort, wo der Installer gespeichert ist. Die Bedrohungsakteure versuchen auch, Geofencing-Tricks zu verwenden, indem sie Besucher mit einem U.S.-IP-Adressen auf eine legitime Website wie Google umleiten.
Zusätzlich zu Astaroth und Mekotio werden auch Ousaban-Aktivitäten beobachtet. Diese Trojaner zielen alle auf Finanzinstitutionen ab und überwachen Nutzeraktivitäten sowie das Protokollieren von Tastenanschlägen und das Aufnehmen von Bildschirmfotos, sobald eine der Zielbanken-Websites geöffnet ist.
Phishing-Kampagnen nutzen auch QR-Codes, um potenzielle Opfer in die Installation von Malware auf ihren mobilen Geräten zu locken. Kaspersky warnt vor der Verwendung von E-Mail-Marketing-Tools wie Twilios SendGrid, um Kundendaten zu erhalten und sie für überzeugend aussehende Phishing-E-Mails zu nutzen.
Phishing-Aktivitäten werden durch die einfache Verfügbarkeit von Phishing-Kits wie Greatness und Tycoon angeheizt, die kostengünstige und skalierbare Mittel für aufstrebende Cyberkriminelle geworden sind, um bösartige Kampagnen durchzuführen.