Malware, die Microsoft-Installationsprogramme verwendet, hat begonnen, sich über Google Cloud Run außerhalb der LATAM-Region zu verbreiten

Wenn Opfer auf diese Hyperlinks zugreifen, werden sie zu den von den Bedrohungsakteuren bereitgestellten Cloud Run-Webdiensten weitergeleitet und erhalten die für die Einleitung des Infektionsprozesses erforderlichen Komponenten. Wie bereits erwähnt, haben wir beobachtet, dass Astaroth und Mekotio auf diese Weise in Form von bösartigen Microsoft Installers (MSI)-Dateien als Nutzlast der Stufe 1 verbreitet werden, um den Infektionsprozess einzuleiten. Wir haben in letzter Zeit zwei Variationen in der Art und Weise beobachtet, wie die MSI-Dateien bereitgestellt werden. In vielen Fällen wird die MSI-Datei direkt vom vom Angreifer bereitgestellten Google Cloud Run-Webdienst bereitgestellt, wie unten im Fall von Mekotio gezeigt.

Cisco Talos

In den meisten Fällen werden diese E-Mails mit Themen im Zusammenhang mit Rechnungen oder Finanz- und Steuerdokumenten verschickt und geben manchmal den Anschein, von der lokalen Steuerbehörde des Ziellandes gesendet worden zu sein. Im folgenden Beispiel soll die E-Mail von der Administración Federal de Ingresos Públicos (AFIP) stammen, der lokalen Steuerbehörde in Argentinien, einem Land, das in letzter Zeit häufig von Malspam-Kampagnen angegriffen wird.

Cisco Talos