Malware die Microsoft-installatieprogramma’s gebruikt, verspreidt zich via Google Cloud Run buiten de LATAM-regio

Wanneer slachtoffers toegang krijgen tot deze hyperlinks, worden ze doorgestuurd naar de Cloud Run-webservices die door de bedreigingsactoren worden ingezet en worden de componenten geleverd die nodig zijn om het infectieproces te initiëren. Zoals eerder vermeld, hebben we gezien dat Astaroth en Mekotio op deze manier worden verspreid in de vorm van kwaadaardige Microsoft Installers (MSI)-bestanden als fase 1-payload om het infectieproces te starten. We hebben twee recente variaties waargenomen in de manier waarop de MSI-bestanden worden afgeleverd. In veel gevallen wordt het MSI-bestand rechtstreeks geleverd vanuit de Google Cloud Run-webservice die door de tegenstander is geïmplementeerd, zoals weergegeven in het onderstaande geval van Mekotio.

Cisco Talos

In de meeste gevallen worden deze e-mails verzonden met thema’s die verband houden met facturen of financiële en belastingdocumenten, en soms doen ze zich voor alsof ze zijn verzonden door de lokale belastingdienst van het land waarop ze zijn gericht. In het onderstaande voorbeeld lijkt de e-mail afkomstig te zijn van Administración Federal de Ingresos Públicos (AFIP), de lokale belastingdienst van de lokale overheid in Argentinië, een land dat regelmatig het doelwit is van recente spamcampagnes.

Cisco Talos