22 de julio de 2024Sala de prensaSeguridad en la nube / Ataque de phishing Se ha observado que un actor con motivaciones económicas con sede en América Latina (LATAM) cuyo nombre en código es FLUXROOT aprovecha los proyectos sin servidor de Google Cloud para orquestar la actividad de phishing de credenciales, lo que pone de relieve el abuso del modelo de computación en la nube con fines maliciosos. «Las arquitecturas sin servidor son atractivas para los desarrolladores y las empresas por su flexibilidad, rentabilidad y facilidad de uso», afirmó Google en su informe bianual Threat Horizons. [PDF] compartido con The Hacker News. «Estas mismas características hacen que los servicios de computación sin servidor para todos los proveedores de la nube sean atractivos para los actores de amenazas, que los utilizan para entregar y comunicarse con su malware, alojar y dirigir a los usuarios a páginas de phishing, y para ejecutar malware y ejecutar scripts maliciosos diseñados específicamente para ejecutarse en un entorno sin servidor». La campaña implicó el uso de URL de contenedores de Google Cloud para alojar páginas de phishing de credenciales con el objetivo de recopilar información de inicio de sesión asociada con Mercado Pago, una plataforma de pagos en línea popular en la región de LATAM. FLUXROOT, según Google, es el actor de amenazas conocido por distribuir el troyano bancario Grandoreiro, con campañas recientes que también aprovechan servicios legítimos en la nube como Microsoft Azure y Dropbox para distribuir el malware. Por otra parte, la infraestructura en la nube de Google también ha sido utilizada como arma por otro adversario llamado PINEAPPLE para propagar otro malware ladrón conocido como Astaroth (también conocido como Guildma) como parte de los ataques dirigidos a usuarios brasileños. «PINEAPPLE utilizó instancias de Google Cloud comprometidas y proyectos de Google Cloud que ellos mismos crearon para crear URL de contenedores en dominios legítimos sin servidor de Google Cloud, como CloudFunctions.[.]»net y run.app», señaló Google. «Las URL alojaban páginas de destino que redirigían a los objetivos a una infraestructura maliciosa que instalaba Astaroth». Además, se dice que el actor de amenazas intentó eludir las protecciones de la puerta de enlace de correo electrónico haciendo uso de servicios de reenvío de correo que no eliminan mensajes con registros de Sender Policy Framework (SPF) fallidos, o incorporando datos inesperados en el campo SMTP Return-Path para activar un tiempo de espera de solicitud de DNS y hacer que las comprobaciones de autenticación de correo electrónico fallen. El gigante de las búsquedas dijo que tomó medidas para mitigar las actividades eliminando los proyectos maliciosos de Google Cloud y actualizando sus listas de Navegación segura. La utilización de servicios e infraestructura en la nube como arma por parte de actores de amenazas, que van desde la minería ilícita de criptomonedas como consecuencia de configuraciones débiles hasta ransomware, se ha visto impulsada por la mayor adopción de la nube en todas las industrias. Además, el enfoque tiene el beneficio adicional de permitir que los adversarios se mezclen con las actividades normales de la red, lo que hace que la detección sea mucho más desafiante. «Los actores de amenazas aprovechan la flexibilidad y la facilidad de implementación de las plataformas sin servidor para distribuir malware y alojar páginas de phishing», dijo la empresa. «Los actores de amenazas que abusan de los servicios en la nube cambian sus tácticas en respuesta a las medidas de detección y mitigación de los defensores». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.