Злоумышленники, известные как PINEAPPLE, активно атакуют жителей Бразилии с использованием финансовых и налоговых тематик, чтобы уговорить пользователей открывать вредоносные ссылки и файлы. Группа притворяется налоговой службой Бразилии, Receita Federal do Brasil, отправляя спам-письма, которые пытаются заразить пользователей вредоносным программным обеспечением Astaroth.
Большинство этих кампаний было заблокировано для пользователей Gmail и Workspace. Злоумышленники подделывают электронную почту Receita Federal и используют различные методы, чтобы обойти системы проверки электронной почты и убедить пользователей в подлинности сообщений. В одной из последних кампаний, злоумышленники притворялись представителями министерства финансов Бразилии и использовали страницу социальной инженерии, которая перенаправляла пользователей на вредоносную инфраструктуру.
PINEAPPLE часто злоупотребляет легитимными облачными сервисами, включая Google Cloud, Amazon AWS и Microsoft Azure, чтобы распространять вредоносное ПО среди пользователей в Бразилии. Команды Google активно работали, чтобы предотвратить использование PINEAPPLE Google Cloud Run и Cloud Functions. Злоумышленники использовали скомпрометированные экземпляры Google Cloud и проекты для размещения вредоносных ссылок на легитимных доменах Google Cloud. Google отключила вредоносные сайты и приостановила связанные проекты. Меры безопасности и улучшения были внедрены для повышения защиты платформы Google.
PINEAPPLE быстро адаптируется к новым обнаружениям и продолжает использовать облачные сервисы в своих кампаниях. Эксперименты проводились не только с Google Cloud, но и с другими облачными платформами, такими как Microsoft и Tencent. Недавние кампании PINEAPPLE использовали выделенные виртуальные серверы, созданные с помощью сервиса GoDaddy, и сервисы переадресации почты, чтобы отправлять фальшивые письма, притворяясь различными организациями, включая WhatsApp.
Indicators of Compromise
SHA256
- 38fad88f0fefb385fdfba2e0be28a1fe6302387bc4a0a9f8b010cca09836361d
- 57a0a64ff7d5ca462fe18857f552ab186d118a80ecad741be62ee16e500ac424
- e9841e5c218611add64c07b6d6e8b2f2a899ee32da2bb0326238b332f34bd045