Virus Invisible: El Software sin Servidor Inunda América Latina
Virus Invisible: El Software sin Servidor Inunda América Latina
Alexander Antipov
Cómo el abuso de Google Cloud afecta a los negocios.
En América Latina, se ha identificado un grupo de hackers motivados financieramente bajo el nombre en código FLUXROOT, que utiliza proyectos sin servidor de Google Cloud para llevar a cabo ataques de phishing. Estos ataques están dirigidos a robar credenciales, lo que destaca el abuso del modelo de computación en la nube con fines maliciosos.
Según Google, las arquitecturas sin servidor son atractivas para desarrolladores y empresas por su flexibilidad, economía y facilidad de uso. Estas mismas características las hacen atractivas para los delincuentes, que utilizan estos servicios para entregar e interactuar con su software malicioso, alojar y redirigir a los usuarios a páginas de phishing, así como ejecutar scripts maliciosos especialmente adaptados para el entorno sin servidor.
En la campaña, se utilizaron URLs de contenedores de Google Cloud para alojar páginas de phishing destinadas a recopilar credenciales de usuarios de la popular plataforma de pagos en línea de América Latina, Mercado Pago.
FLUXROOT es conocido por la propagación del troyano bancario Grandoreiro, y anteriormente el grupo utilizó los servicios en la nube de Microsoft Azure y Dropbox para distribuir su software malicioso.
Además de FLUXROOT, la infraestructura de Google Cloud también fue utilizada por otro grupo de hackers, PINEAPPLE, para la distribución del malware Astaroth (Guildma). Los ataques estaban dirigidos a usuarios brasileños.
PINEAPPLE creó URLs de contenedores en dominios legítimos de Google Cloud (cloudfunctions[.]net y run.app) con el objetivo de redirigir a las víctimas a recursos maliciosos, donde se producía la infección con Astaroth.
Los delincuentes también intentaron eludir la protección de las puertas de enlace de correo electrónico utilizando servicios de reenvío de correos que no rechazan mensajes con fallos en las entradas del Sender Policy Framework (SPF), o añadiendo datos inesperados en el campo Return-Path del protocolo SMTP para provocar un tiempo de espera en la consulta DNS y causar un fallo en la autenticación del correo electrónico.
Google ha tomado medidas para reducir la actividad de los hackers, eliminando proyectos maliciosos de Google Cloud y actualizando sus listas de navegación segura. El abuso de servicios e infraestructuras en la nube por parte de los hackers es una consecuencia de la adopción activa de tecnologías en la nube en diversas industrias.
Según Google, las arquitecturas sin servidor son atractivas para desarrolladores y empresas por su flexibilidad, economía y facilidad de uso. Estas mismas características las hacen atractivas para los delincuentes, que utilizan estos servicios para entregar e interactuar con su software malicioso, alojar y redirigir a los usuarios a páginas de phishing, así como ejecutar scripts maliciosos especialmente adaptados para el entorno sin servidor.
En la campaña, se utilizaron URLs de contenedores de Google Cloud para alojar páginas de phishing destinadas a recopilar credenciales de usuarios de la popular plataforma de pagos en línea de América Latina, Mercado Pago.
FLUXROOT es conocido por la propagación del troyano bancario Grandoreiro, y anteriormente el grupo utilizó los servicios en la nube de Microsoft Azure y Dropbox para distribuir su software malicioso.
Además de FLUXROOT, la infraestructura de Google Cloud también fue utilizada por otro grupo de hackers, PINEAPPLE, para la distribución del malware Astaroth (Guildma). Los ataques estaban dirigidos a usuarios brasileños.
PINEAPPLE creó URLs de contenedores en dominios legítimos de Google Cloud (cloudfunctions[.]net y run.app) con el objetivo de redirigir a las víctimas a recursos maliciosos, donde se producía la infección con Astaroth.
Los delincuentes también intentaron eludir la protección de las puertas de enlace de correo electrónico utilizando servicios de reenvío de correos que no rechazan mensajes con fallos en las entradas del Sender Policy Framework (SPF), o añadiendo datos inesperados en el campo Return-Path del protocolo SMTP para provocar un tiempo de espera en la consulta DNS y causar un fallo en la autenticación del correo electrónico.
Google ha tomado medidas para reducir la actividad de los hackers, eliminando proyectos maliciosos de Google Cloud y actualizando sus listas de navegación segura. El abuso de servicios e infraestructuras en la nube por parte de los hackers es una consecuencia de la adopción activa de tecnologías en la nube en diversas industrias.
Las huellas digitales son tu debilidad, y los hackers lo saben