Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers que usam a plataforma de computação em nuvem do Google para realizar ataques de malware direcionados por meio de PDF armado

Os agentes de ameaças usam a plataforma de computação do Google (GCP) para entregar o malware por meio de arquivos PDF maliciosos. O ataque teve como alvo governos e empresas financeiras em todo o mundo.

De acordo com a Netskope, o Threat Research Labs detectou o alvo com base em suas 42 inst√Ęncias de clientes e provavelmente nos ataques lan√ßados pelo infame grupo de hackers Cobalt Strike.

No ano passado, os cibercriminosos abusou do Google Cloud legítimo Serviços de armazenamento para hospedar cargas maliciosas e entregues para comprometer as redes da organização, contornando os controles de segurança.

Nesta campanha, os invasores usaram e-mail tradicional elaborado de forma a parecer legítimo e transportar o documento PDF malicioso como anexo no correio.

Os PDFs foram criados com Adobe Acrobat e cont√™m URLs HTTPS em formato compactado e todos os chamarizes usados ‚Äč‚Äčna entrega da carga √ļtil.

‚ÄúO ataque direcionado √© mais convincente do que os ataques tradicionais e esses ataques s√£o realizados abusando do redirecionamento de URL do GCP em iscas de PDF e redirecionando para o URL malicioso que hospeda a carga maliciosa.‚ÄĚ

Os invasores abusaram do URL do GoogleApp Engine e redirecionaram a vítima para baixar sites hospedados por malware, o que faz com que as vítimas acreditem que estão baixando de uma fonte confiável.

Redirecionamento de URL ‚Äď Google Cloud Computing

De acordo com a ilustração da Netskope, o URL chamariz é acessado pelo usuário, ele sai de appengine.google.com e gera um código de status 302 de redirecionamento.

uma vez que esta ação é acionada, ela redireciona o usuário para google.com/logout?continue=ao usar essa lógica de redirecionamento, os atores da ameaça fazem com que as vítimas cheguem à página de destino de destino e baixem Documento 102018[.]documento para a máquina vítima.

N√≥s recomendamos:  Mudar para a Vodafone: as novas ofertas especiais de mar√ßo cheias de gabaritos 4.5G

Mesmo sendo um redirecionamento n√£o validado, o aplicativo GCP App Engine validou com √™xito todo o redirecionamento e entregou a carga √ļtil √† m√°quina da v√≠tima.

Os atores da ameaça abusaram da vulnerabilidade de redirecionamentos e encaminhamentos não validados com o GCP App Engine e redirecionaram as vítimas para fazer download para um URL anexado malicioso que hospeda a carga maliciosa, diz o relatório da Netscape.

O documento Word Doc102018.doc baixado de https://transef[.]neg√≥cios cont√©m macros que baixam o segundo est√°gio das cargas √ļteis de https://transef[.]biz/fr.txt.

Documento txt baixado ‚Äúfranco[.]TXT‚ÄĚexploits usam nativos Windows aplicativo Microsoft Connection Manager Profile Installer para baixar e executar a carga √ļtil, os pesquisadores chamam isso de t√©cnica Squablydoo.

‚ÄúCom base em nossa pesquisa de intelig√™ncia de amea√ßas, mais de 20 outras institui√ß√Ķes banc√°rias, governamentais e financeiras foram alvo do mesmo ataque por meio de e-mails de phishing enviados por invasores que se passaram por clientes leg√≠timos dessas institui√ß√Ķes, diz a Netscape.‚ÄĚ

Voc√™ pode nos seguir em Linkedin, Twittere Facebook para atualiza√ß√Ķes di√°rias de seguran√ßa cibern√©tica, voc√™ tamb√©m pode fazer os melhores cursos de seguran√ßa cibern√©tica on-line para se manter auto-atualizado.

Leia também:

8.8.8.8 ‚Äď DNS p√ļblico do Google agora oferece suporte a DNS sobre TLS para proteger as consultas de pesquisa dos clientes

Lista de verifica√ß√£o de testes de penetra√ß√£o de computa√ß√£o em nuvem e considera√ß√Ķes importantes