Les logiciels malveillants utilisant les installateurs Microsoft ont commencé à se propager via Google Cloud Run en dehors de la région LATAM.

Lorsque les victimes accèdent à ces hyperliens, elles sont redirigées vers les services Web Cloud Run déployés par les auteurs de la menace et reçoivent les composants nécessaires pour lancer le processus d’infection. Comme indiqué précédemment, nous avons observé qu’Astaroth et Mekotio étaient distribués de cette manière sous la forme de fichiers Microsoft Installers (MSI) malveillants en tant que charge utile de l’étape 1 pour démarrer le processus d’infection. Nous avons observé deux variations récentes dans la manière dont les fichiers MSI sont livrés. Dans de nombreux cas, le fichier MSI est fourni directement depuis le service Web Google Cloud Run déployé par l’adversaire, comme illustré dans le cas de Mekotio ci-dessous.

Cisco Talos

Dans la plupart des cas, ces e-mails sont envoyés sur des thèmes liés à des factures ou à des documents financiers et fiscaux, et se présentent parfois comme provenant de l’agence fiscale locale du pays ciblé. Dans l’exemple ci-dessous, l’e-mail prétend provenir de l’Administración Federal de Ingresos Públicos (AFIP), l’agence fiscale locale d’Argentine, un pays fréquemment ciblé par de récentes campagnes de spam.

Cisco Talos