Microsoft インストーラーを使用するマルウェアが Google Cloud Run を通じて中南米地域外に拡散し始めている

被害者がこれらのハイパーリンクにアクセスすると、脅威アクターがデプロイした Cloud Run ウェブサービスにリダイレクトされ、感染プロセスの開始に必要なコンポーネントが配信されます。前述したように、感染プロセスを開始するためのステージ 1 ペイロードとして、悪意のある Microsoft インストーラー (MSI) ファイルの形式で Astaroth と Mekotio がこの方法で配布されていることが確認されています。 MSI ファイルの配信方法に最近 2 つの変化があることを確認しました。多くの場合、MSI ファイルは、以下の Mekotio の場合に示すように、攻撃者によってデプロイされた Google Cloud Run Web サービスから直接配信されます。

Cisco タロス

ほとんどの場合、これらのメールは請求書、財務および税務書類に関連するテーマを使用して送信されており、場合によっては、標的となっている国の地方自治体の税務当局から送信されたかのように装うこともあります。以下の例では、電子メールは、最近のマルスパム キャンペーンの標的になることが多いアルゼンチンの地方政府税務局である行政管理連邦政府 (AFIP) からのものであるとしています。

Cisco タロス