A atividade de phishing que busca uma URL no Google Cloud ganhou novas dimensões. O grupo malicioso FluxRoot usa projetos sem servidor em nuvem para enganar vítimas potenciais.
A empresa explica como o FluxRoot vem criando páginas de phishing destinadas a roubar credenciais no relatório Google Threat Horizons Report, que foi inicialmente divulgado pelo The Hacker News. Os simulacros do Mercado Pago e do Governo estão entre as páginas falsas.
“As arquiteturas sem servidor são atraentes para desenvolvedores e empresas por sua flexibilidade, economia e facilidade de uso”, afirma a Google no relatório. Os mesmos recursos atraem os serviços de computação sem servidor para todos os provedores de nuvem para os cibercriminosos, que os utilizam para distribuir malware, hospedar e direcionar usuários para páginas de phishing e para executar malware e scripts maliciosos especificamente desenvolvidos para um ambiente sem servidor.
Além do roubo de credenciais e hospedagem de malware, atores criminosos podem realizar mineração de criptomoedas em projetos Google Cloud sem servidores acessíveis.
O grupo FluxRoot é conhecido por ser o responsável pelo trojan bancário Grandoreiro, que se concentra em atacar serviços de nuvem legítimos como Azure e Dropbox para distribuição de malware.
A Google também menciona um grupo adicional chamado Pineapple, que é responsável por distribuir um malware de roubo de informações chamado Astaroth.
“O Pineapple usa instâncias comprometidas do Google Cloud e projetos do Google Cloud que eles próprios desenvolveram para criar URLs de contêiner em domínios legítimos sem servidor do Google Cloud, como cloudfunctions[.]net e run.app. As URLs hospedavam páginas de destino redirecionando alvos para uma infraestrutura maliciosa que descarregava o Astaroth”, comentou a empresa.
A Google responde sobre as medidas defensivas tomadas contra o FluxRoot e o Pineapple:
- Utilizar o Google Cloud Secret Manager
- Nunca armazenar dados sensíveis e ‘secretos’ em Variáveis de Ambiente
- Checar permissões de acesso
- Checagem regular de código, dependências e recursos de nuvem para possíveis
- exposições de segredos e credenciais (recomendam a aba proteção de dados sensíveis do Google Cloud)
O que é phishing
Como “metade do trabalho” é enganar o usuário de computador ou smartphone, o phishing é um dos métodos de ataque mais antigos, caso você não saiba. Como uma “pescaria”, o cibercriminoso envia um texto informando que você recebeu um prêmio ou dinheiro (ou que está devendo algum valor) e geralmente inclui um link para ajudá-lo a resolver o problema. O phishing também pode ser chamado de sites falsos que solicitam informações de clientes. A armadilha ocorre quando você clica em um link e fornece dados confidenciais, como nome completo, telefone, CPF e números de conta bancária. Normalmente, o site é um site de e-commerce ou banco falso para ludibriar a vítima.
Fonte: TecMundo
