Il malware che utilizza gli installatori Microsoft ha iniziato a diffondersi tramite Google Cloud Run al di fuori della regione LATAM

Quando le vittime accedono a questi collegamenti ipertestuali, vengono reindirizzate ai servizi Web Cloud Run distribuiti dagli autori delle minacce e ricevono i componenti necessari per avviare il processo di infezione. Come affermato in precedenza, abbiamo osservato che Astaroth e Mekotio venivano distribuiti in questo modo sotto forma di file Microsoft Installer (MSI) dannosi come payload della Fase 1 per avviare il processo di infezione. Abbiamo osservato due recenti variazioni nel modo in cui vengono consegnati i file MSI. In molti casi, il file MSI viene consegnato direttamente dal servizio web Google Cloud Run distribuito dall’avversario, come mostrato di seguito nel caso di Mekotio.

Cisco Talos

Nella maggior parte dei casi, queste e-mail vengono inviate utilizzando temi relativi a fatture o documenti finanziari e fiscali e talvolta si presentano come inviate dall’agenzia fiscale del governo locale del paese preso di mira. Nell’esempio seguente, l’e-mail sembra provenire dall’Administración Federal de Ingresos Públicos (AFIP), l’agenzia fiscale del governo locale in Argentina, un paese spesso preso di mira dalle recenti campagne di spam.

Cisco Talos