Sommario
Recentemente, due gruppi di hacker noti come PINEAPPLE e FLUXROOT sono stati scoperti mentre sfruttavano i servizi di Google Cloud per condurre campagne di phishing mirate. Questi gruppi hanno utilizzato architetture serverless di Google Cloud per ospitare pagine di phishing e distribuire malware, evidenziando come i servizi cloud possano essere abusati per scopi malevoli.
Campagne di Phishing e Malware di FLUXROOT
FLUXROOT, un attore motivato finanziariamente e basato in America Latina, è stato osservato utilizzare i progetti serverless di Google Cloud per orchestrare attività di phishing. Le loro campagne miravano a raccogliere informazioni di accesso associate a piattaforme di pagamento online come Mercado Pago, molto popolare nella regione LATAM. FLUXROOT è noto per la distribuzione del trojan bancario Grandoreiro e ha utilizzato anche servizi legittimi come Microsoft Azure e Dropbox per diffondere il malware.
Attacchi di PINEAPPLE con Astaroth
Un altro gruppo di hacker, PINEAPPLE, ha sfruttato l’infrastruttura cloud di Google per propagare un altro malware noto come Astaroth, anche chiamato Guildma. Questo gruppo ha creato istanze compromesse di Google Cloud e ha utilizzato URL di container su domini serverless legittimi come cloudfunctions[.]net e run.app per ospitare pagine di destinazione che reindirizzavano gli utenti verso infrastrutture dannose. Queste pagine distribuivano il malware Astaroth, prendendo di mira principalmente utenti brasiliani.
Metodi di Bypass delle Protezioni Email
Per bypassare le protezioni dei gateway email, PINEAPPLE ha utilizzato servizi di inoltro email che non bloccano messaggi con record SPF falliti o hanno incorporato dati inattesi nel campo SMTP Return-Path per causare un timeout delle richieste DNS e far fallire i controlli di autenticazione email.
Azioni di Mitigazione di Google
Google ha adottato misure per mitigare le attività malevole, eliminando i progetti Google Cloud compromessi e aggiornando le sue liste di Safe Browsing. L’abuso dei servizi cloud da parte degli attori delle minacce rappresenta una sfida crescente, poiché consente loro di mimetizzarsi nelle normali attività di rete, rendendo la rilevazione molto più difficile.
Gli attori delle minacce continuano a sfruttare la flessibilità e la facilità di distribuzione delle piattaforme serverless per distribuire malware e ospitare pagine di phishing. La scoperta delle attività di PINEAPPLE e FLUXROOT mette in evidenza l’importanza di monitorare e proteggere le infrastrutture cloud per prevenire abusi simili. Le operazioni congiunte e le azioni proattive di mitigazione sono cruciali per contrastare questi tipi di attacchi e garantire la sicurezza delle infrastrutture critiche e dei dati sensibili come riporta Google nel suo rapporto.
