Złośliwe oprogramowanie korzystające z instalatorów Microsoft zaczęło rozprzestrzeniać się za pośrednictwem Google Cloud Run poza regionem LATAM

Gdy ofiary uzyskują dostęp do tych hiperłączy, są przekierowywane do usług internetowych Cloud Run wdrożonych przez podmioty zagrażające i dostarczają komponenty niezbędne do zainicjowania procesu infekcji. Jak już wspomnieliśmy, zaobserwowaliśmy, że Astaroth i Mekotio są dystrybuowane w ten sposób w postaci złośliwych plików instalatorów Microsoft (MSI) jako ładunek pierwszego etapu rozpoczynający proces infekcji. Zaobserwowaliśmy ostatnio dwie zmiany w sposobie dostarczania plików MSI. W wielu przypadkach plik MSI jest dostarczany bezpośrednio z usługi internetowej Google Cloud Run wdrożonej przez przeciwnika, jak pokazano w przypadku Mekotio poniżej.

Cisco Talosa

W większości przypadków e-maile te są wysyłane z wykorzystaniem motywów związanych z fakturami lub dokumentami finansowymi i podatkowymi, a czasami udają, że są wysyłane przez samorządowy organ podatkowy w docelowym kraju. W poniższym przykładzie e-mail rzekomo pochodzi od Administración Federal de Ingresos Públicos (AFIP), lokalnego urzędu podatkowego w Argentynie, kraju często będącym celem niedawnych kampanii złośliwego spamu.

Cisco Talosa