Microsoft 설치 프로그램을 사용하는 악성코드가 LATAM 지역 외부에서 Google Cloud Run을 통해 확산되기 시작했습니다.

피해자가 이러한 하이퍼링크에 액세스하면 위협 행위자가 배포한 Cloud Run 웹 서비스로 리디렉션되고 감염 프로세스를 시작하는 데 필요한 구성 요소가 전달됩니다. 이전에 언급한 바와 같이, 우리는 Astaroth와 Mekotio가 감염 프로세스를 시작하기 위한 1단계 페이로드로 악성 MSI(Microsoft Installers) 파일 형태로 이러한 방식으로 배포되는 것을 관찰했습니다. MSI 파일이 전달되는 방식에서 최근 두 가지 변형이 관찰되었습니다. 아래 Mekotio의 경우처럼 상대가 배포한 Google Cloud Run 웹 서비스에서 MSI 파일이 직접 전달되는 경우가 많습니다.

시스코 탈로스

대부분의 경우 이러한 이메일은 송장이나 금융 및 세금 문서와 관련된 주제를 사용하여 전송되며 때로는 대상 국가의 지방 정부 세무 기관에서 보낸 것처럼 가장합니다. 아래 예에서 이메일은 최근 악성 스팸 캠페인의 표적이 되는 국가인 아르헨티나의 지방 정부 세무 기관인 AFIP(Administración Federal de Ingresos Públicos)에서 보낸 것으로 나타납니다.

시스코 탈로스