Malware usando instaladores da Microsoft começou a se espalhar pelo Google Cloud Run fora da região LATAM

Quando as vítimas acessam esses hiperlinks, elas são redirecionadas para os serviços web Cloud Run implantados pelos agentes da ameaça e recebem os componentes necessários para iniciar o processo de infecção. Conforme afirmado anteriormente, observamos Astaroth e Mekotio sendo distribuídos dessa maneira na forma de arquivos maliciosos do Microsoft Installers (MSI) como carga útil do Estágio 1 para iniciar o processo de infecção. Observamos duas variações recentes na forma como os arquivos MSI estão sendo entregues. Em muitos casos, o arquivo MSI é entregue diretamente do serviço web Google Cloud Run implantado pelo adversário, como mostrado no caso do Mekotio abaixo.

Cisco Talos

Na maioria dos casos, estes e-mails são enviados utilizando temas relacionados com faturas ou documentos financeiros e fiscais e, por vezes, fingem ser enviados pela agência fiscal do governo local do país visado. No exemplo abaixo, o e-mail parece ser da Administración Federal de Ingresos Públicos (AFIP), a agência tributária do governo local na Argentina, um país frequentemente alvo de recentes campanhas de spam.

Cisco Talos