Groupe de menaces FLUXROOT
Un groupe à motivation financière basé en Amérique latine (LATAM), connu sous le nom de FLUXROOT, a été détecté en train d'utiliser les projets sans serveur de Google Cloud pour mener des campagnes de phishing d'identifiants. Cette situation souligne à quel point les modèles de cloud computing peuvent être exploités à des fins menaçantes. Les développeurs et les entreprises privilégient les architectures sans serveur en raison de leur flexibilité, de leur rentabilité et de leur convivialité. Cependant, ces mêmes avantages rendent également les services informatiques sans serveur attrayants pour les cybercriminels. Ils exploitent ces plateformes pour distribuer et gérer des logiciels malveillants, héberger des sites de phishing et exécuter des scripts frauduleux spécialement conçus pour les environnements sans serveur.
Table des matières
FLUXROOT cible les utilisateurs avec des chevaux de Troie bancaires
La campagne a utilisé les URL de conteneurs Google Cloud pour héberger des pages de phishing d'informations d'identification, ciblant les informations de connexion de Mercado Pago, une plateforme de paiement en ligne largement utilisée dans la région LATAM. Selon Google, FLUXROOT est l'acteur malveillant à l'origine de cette campagne, auparavant connu pour avoir propagé le cheval de Troie bancaire Grandoreiro . Les activités récentes de FLUXROOT ont également consisté à exploiter des services cloud légitimes tels que Microsoft Azure et Dropbox pour distribuer leurs logiciels malveillants.
Les cybercriminels exploitent les services cloud pour propager des logiciels malveillants
Dans une autre affaire, PINEAPPLE, un autre acteur malveillant, a exploité l'infrastructure cloud de Google pour distribuer le malware voleur Astaroth (également connu sous le nom de Guildma) dans le cadre d'attaques visant les utilisateurs brésiliens.
PINEAPPLE a compromis les instances Google Cloud et a créé ses propres projets Google Cloud pour générer des URL de conteneurs sur des domaines sans serveur Google Cloud légitimes tels que cloudfunctions.net et run.app. Ces URL hébergeaient des pages de destination qui redirigeaient les cibles vers une infrastructure frauduleuse pour diffuser le malware Astaroth.
De plus, PINEAPPLE a tenté d'échapper aux défenses de la passerelle de messagerie en utilisant des services de transfert de courrier qui permettent aux messages avec des enregistrements SPF (Sender Policy Framework) défaillants de passer. Ils ont également manipulé le champ SMTP Return-Path avec des données inattendues pour déclencher des délais d'attente des requêtes DNS, provoquant l'échec des vérifications d'authentification des e-mails.
Les criminels profitent de services légitimes à des fins préjudiciables
Pour faire face à ces menaces, Google a pris des mesures pour atténuer ces activités en fermant les projets Google Cloud dangereux et en mettant à jour les listes de navigation sécurisée.
Le choix accru de services cloud dans divers secteurs a malheureusement permis aux acteurs malveillants d’exploiter ces plates-formes à des fins malveillantes, notamment pour l’extraction illicite de cryptomonnaies en raison de configurations faibles et d’attaques de ransomwares.
Cette exploitation est encore facilitée par le fait que les services cloud permettent aux adversaires de combiner leurs activités avec les opérations normales du réseau, ce qui rend la détection beaucoup plus difficile.
Les acteurs malveillants exploitent la flexibilité et la facilité de déploiement des plates-formes sans serveur pour distribuer des logiciels malveillants et héberger des pages de phishing. À mesure que les défenseurs mettent en œuvre des mesures de détection et d’atténuation, les adversaires adaptent continuellement leurs tactiques pour échapper à ces défenses.
