С сентября 2023 года специалисты Cisco Talos отмечают значительное увеличение количества вредоносных писем, использующих сервис Google Cloud Run для заражения потенциальных жертв банковскими троянами.
В цепочках заражения, связанных с этими семействами вредоносных программ, используются вредоносные инсталляторы Microsoft Installers (MSI), которые выполняют функции дропперов или загрузчиков для конечной полезной нагрузки (полезной нагрузки). Кампании по распространению этих семейств связаны между собой: Astaroth и Mekotio распространяются в рамках одного и того же проекта Google Cloud Project и ведра хранения Google Cloud. В процессе заражения Astaroth также происходит сброс Ousaban.
Вредоносная программа распространяется через электронные письма, которые рассылаются по темам, связанным со счетами или финансовыми и налоговыми документами, и иногда выдают себя за письма от налогового агентства местной администрации страны, на которую направлена атака. Письма содержат гиперссылки на Google Cloud Run, которые можно идентифицировать по использованию домена верхнего уровня run.app (TLD). Когда жертвы переходят по этим гиперссылкам, они перенаправляются на веб-сервисы Cloud Run, развернутые злоумышленниками, и получают компоненты, необходимые для запуска процесса заражения.
Indicators of Compromise
Domains
- 0tuiwp.mariomanagement.biz.id
- 1.tcp.sa.ngrok.io
- 2joafm.marioanalytics.my.id
- 4hawb.produtoeletro.my.id
- arr-wd3463btrq-uc.a.run.app
- avfa-wd3463btrq-uc.a.run.app
- caiiaf.businesswise.biz.id
- cua3e.mariosolutions.biz.id
- e0aonr.creativeplus.my.id
- eeiul.marioadvisory.my.id
- factalia-ofh2cutija-uc.a.run.app
- gasgas-wd3463btrq-uc.a.run.app
- h4aowa.mariostrategy.my.id
- haergsd-wd3463btrq-uc.a.run.app
- jx-krrdbo6imq-uc.a.run.app
- kka5c.marioanalytics.my.id
- lwafa.actiongroup.my.id
- nqaa8e.businesswise.biz.id
- nweow8.mariostrategy.my.id
- portu-wd3463btrq-uc.a.run.app
- ptb-wd3463btrq-uc.a.run.app
- ptm-wd3463btrq-uc.a.run.app
- pto-wd3463btrq-uc.a.run.app
- w8oaa0.mariosolutions.biz.id
- wae4w.mariomanagement.biz.id
- wba0s.produtoeletro.my.id
- wiae5.marioadvisory.my.id
- xwago.creativeplus.my.id
- yaiinr.actiongroup.my.id
URLs
- http://storage.googleapis.com/alele/FAT.1705617082.zip
- http://storage.googleapis.com/alele/Fat.184949849.zip
- http://w3iuwl.nextmax.my.id/?5/
- http://wae4w.mariomanagement.biz.id/?39829895502632947
- http://wae4w.mariomanagement.biz.id/?41991463280678058
- http://wae4w.mariomanagement.biz.id/?51999170290693658
- http://wae4w.mariomanagement.biz.id/?61694995802639066
- http://wae4w.mariomanagement.biz.id/?75129547751613994
- http://wae4w.mariomanagement.biz.id/?76849368130628733
SHA256
- 05ef393f6e6d3f8e1ba15eec63a1c2121744400d322a03c9c8e26c1ed58cb6a7
- 094e722972e6e4d2858dd2447d30c7025e7446f4ca60a7dc5a711f906ab5b1a0
- 1a9113491deb9f21c590de4f7e9e370594e47431be482b32f8a5234ad7545a0b
- 237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d
- 4fa9e718fca1fa299beab1b5fea500a0e63385b5fe6d4eb1b1001f2abd97a828
- 5c4a89c81be51e9e048cf3624d4a44fd4355cf6bf56a3c10217d3d3037410b55
- 6d7148b180367e84763690fc57cbd526433026f50dc0c029b00a714ba1660cd3
- 6e1434e0f8cd402f8acb0aade942c86d6b62cd6aa3927053f25fdf57ed384b47
- 7c7dc2065e295eb7ec60d1f8f552e455468e19e731ad20005833d71fa1371f50
- 8d912a99076f0bdc4fcd6e76c51a1d598339c1502086a4381f5ef67520a0ddf2
- b45d8630d54c8d39e3554e0c5a71003d818617e07953520a8638f0935f04dc85
- b712286d4d36c74fa32127f848b79cfb857fdc2b1c84bbbee285cf34752443a2
- b8afd6640de8feed1774e8db3d428c0f1bca023324bb7de9a5eb99db2ea84e26
- d972675774f28e7f5ad206f420470925c4fdbca681816a19aa91a6d054b8f55a
- ed9f268ba7acdcbaeedd40a5c538c6a2637fd41a546363ed7587a6c2e5cdf02b