Os agentes de ameaças usam a plataforma de computação do Google (GCP) para entregar o malware por meio de arquivos PDF maliciosos. O ataque teve como alvo governos e empresas financeiras em todo o mundo.
De acordo com a Netskope, o Threat Research Labs detectou o alvo com base em suas 42 instâncias de clientes e provavelmente nos ataques lançados pelo infame grupo de hackers Cobalt Strike.
No ano passado, os cibercriminosos abusou do Google Cloud legítimo Serviços de armazenamento para hospedar cargas maliciosas e entregues para comprometer as redes da organização, contornando os controles de segurança.
Nesta campanha, os invasores usaram e-mail tradicional elaborado de forma a parecer legítimo e transportar o documento PDF malicioso como anexo no correio.
Os PDFs foram criados com Adobe Acrobat e contêm URLs HTTPS em formato compactado e todos os chamarizes usados na entrega da carga útil.
“O ataque direcionado é mais convincente do que os ataques tradicionais e esses ataques são realizados abusando do redirecionamento de URL do GCP em iscas de PDF e redirecionando para o URL malicioso que hospeda a carga maliciosa.”
Os invasores abusaram do URL do GoogleApp Engine e redirecionaram a vítima para baixar sites hospedados por malware, o que faz com que as vítimas acreditem que estão baixando de uma fonte confiável.
Redirecionamento de URL – Google Cloud Computing
De acordo com a ilustração da Netskope, o URL chamariz é acessado pelo usuário, ele sai de appengine.google.com e gera um código de status 302 de redirecionamento.
uma vez que esta ação é acionada, ela redireciona o usuário para google.com/logout?continue=ao usar essa lógica de redirecionamento, os atores da ameaça fazem com que as vítimas cheguem à página de destino de destino e baixem Documento 102018[.]documento para a máquina vítima.
Mesmo sendo um redirecionamento não validado, o aplicativo GCP App Engine validou com êxito todo o redirecionamento e entregou a carga útil à máquina da vítima.
Os atores da ameaça abusaram da vulnerabilidade de redirecionamentos e encaminhamentos não validados com o GCP App Engine e redirecionaram as vítimas para fazer download para um URL anexado malicioso que hospeda a carga maliciosa, diz o relatório da Netscape.
O documento Word Doc102018.doc baixado de https://transef[.]negócios contém macros que baixam o segundo estágio das cargas úteis de https://transef[.]biz/fr.txt.
Documento txt baixado “franco[.]TXT”exploits usam nativos Windows aplicativo Microsoft Connection Manager Profile Installer para baixar e executar a carga útil, os pesquisadores chamam isso de técnica Squablydoo.
“Com base em nossa pesquisa de inteligência de ameaças, mais de 20 outras instituições bancárias, governamentais e financeiras foram alvo do mesmo ataque por meio de e-mails de phishing enviados por invasores que se passaram por clientes legítimos dessas instituições, diz a Netscape.”
Você pode nos seguir em Linkedin, Twittere Facebook para atualizações diárias de segurança cibernética, você também pode fazer os melhores cursos de segurança cibernética on-line para se manter auto-atualizado.
Leia também:
8.8.8.8 – DNS público do Google agora oferece suporte a DNS sobre TLS para proteger as consultas de pesquisa dos clientes
Lista de verificação de testes de penetração de computação em nuvem e considerações importantes
