使用 Microsoft 安裝程式的惡意軟體已開始透過 Google Cloud Run 在拉丁美洲地區之外傳播
當受害者存取這些超連結時,他們會被重新導向到威脅參與者部署的 Cloud Run Web 服務,並提供啟動感染過程所需的元件。如前所述,我們觀察到 Astaroth 和 Mekotio 以惡意 Microsoft 安裝程式 (MSI) 檔案的形式以這種方式分發,作為開始感染過程的第一階段有效負載。我們觀察到 MSI 檔案傳送方式最近有兩個變化。在許多情況下,MSI 檔案是直接從攻擊者部署的 Google Cloud Run Web 服務傳遞的,如下面的 Mekotio 案例所示。
思科塔羅斯
在大多數情況下,這些電子郵件使用與發票或財務和稅務文件相關的主題發送,有時冒充是從目標國家/地區的地方政府稅務機構發送的。在下面的範例中,該電子郵件聲稱來自阿根廷地方政府稅務機構 Administración Federal de Ingresos Públicos (AFIP),而阿根廷是最近經常成為惡意垃圾郵件活動的目標的國家。
思科塔羅斯
發佈留言