Злоумышленники используют инфраструктуру Google Cloud для доставки трояна Remcos

Суть атаки заключается в многоступенчатой цепочке заражения, начинающейся с фишинга. Вместо регистрации подозрительного домена злоумышленники загружают на законный домен Google "storage.googleapis.com" поддельную страницу входа в Google Drive. Это делает ссылку внешне абсолютно достоверной как для пользователей, так и для многих систем безопасности, которые могут доверять трафику с известных облачных платформ. Страница, тщательно имитирующая фирменный стиль Google, запрашивает у жертвы адрес электронной почты, пароль и одноразовый код, фактически перехватывая полный доступ к учётной записи. Использование инфраструктуры Google также помогает фишинговым ссылкам обходить некоторые почтовые фильтры и проверки репутации URL.

После того как пользователь вводит свои данные, сайт предлагает ему скачать JavaScript-файл, замаскированный под документ или коммерческое предложение. При выполнении этот скрипт, работающий в среде Windows Script Host, запускает сложную цепочку. Она включает в себя скрипты на VBS, которые размещают компоненты в папке "%APPDATA%\WindowsUpdate" и настраивают механизмы закрепления в системе (persistence) для автоматического запуска после перезагрузки. Далее PowerShell-скрипт координирует загрузку скрытого исполняемого файла, содержащего полезную нагрузку (payload) Remcos.

Ключевым элементом для уклонения от обнаружения является финальная стадия. Чтобы оставаться незаметным, вредонос использует дополнительный скрытый загрузчик .NET, размещённый на сервисе для хранения текста. Этот загрузчик применяет технику подмены процесса (process hollowing), злоупотребляя легитимной утилитой Microsoft RegSvcs.exe (.NET Services Installation Tool). Поскольку RegSvcs.exe имеет цифровую подпись Microsoft и, как правило, чистую репутацию в системах анализа, её выполнение в журналах событий конечной точки выглядит доброкачественным. Загрузчик создаёт процесс RegSvcs.exe из временной папки "%TEMP%", подменяет его код и внедряет туда Remcos. В результате троян работает частично безфайлово, выполняясь в памяти под прикрытием имени доверенного процесса и устанавливая соединение со своим командным сервером (C2).

Исследователи отмечают, что подобные атаки делают актуальными рекомендации по смещению фокуса защиты. Командам безопасности не следует полагаться исключительно на репутацию домена или файла при анализе инцидентов, связанных с облачными доменами Google или подписанными бинарниками Windows. Критически важными становятся технологии песочницы (sandbox) для анализа поведения и телеметрия систем класса EDR. Необходимо отслеживать подозрительные цепочки выполнения скриптов, необычное создание папок, похожих на системные, в пользовательских каталогах, а также запуск процессов вроде RegSvcs.exe из нетипичных путей, таких как временные папки.

На сетевом уровне стоит настраивать правила для флагирования исходящих соединений, следующих за запуском движков скриптов или вновь созданных процессов .NET, особенно если им предшествовал доступ к ссылкам на "storage.googleapis.com". Наконец, кампании по повышению осведомлённости пользователей должны подчёркивать, что даже ссылки, указывающие на известные облачные провайдеры, могут вести на фишинговые страницы и вредоносное ПО. Любые неожиданные запросы на вход в систему или предложения скачать скрипты из "документов Drive" должны восприниматься с крайней осторожностью. Этот инцидент наглядно показывает, что злоумышленники успешно эксплуатируют доверие к брендам и базовым технологиям защиты, вынуждая специалистов постоянно углублять свой аналитический инструментарий.

Domains

• brianburkeauction.com
• iseeyousmile9.com
• usmetalpowders.co

URLs

• http://storage.googleapis.com/out-bid/GoogleDrive.html
• https://storage.googleapis.com/com-bid/GoogleDrive.html
• https://storage.googleapis.com/contract-bid-0/GoogleDrive.html
• https://storage.googleapis.com/in-bids/GoogleDrive.html
• https://storage.googleapis.com/pa-bids/GoogleDrive.html