近期有安全研究人員警告稱，黑客濫用谷歌云運行服務(wù)傳播大量銀行木馬，如Astaroth、Mekotio和Ousaban。

谷歌云運行服務(wù)無需管理基礎(chǔ)設(shè)施或進(jìn)行擴(kuò)展，允許用戶部署前端和后端服務(wù)、網(wǎng)站或應(yīng)用程序，處理工作負(fù)載。

思科Talos研究人員觀察到，從2023年9月開始，濫用谷歌服務(wù)傳播惡意軟件的情況大量增加，當(dāng)時就曾有巴西黑客發(fā)起了使用MSI安裝文件部署惡意軟件有效載荷的活動。

研究人員的報告中指出，谷歌云運行服務(wù)近來對網(wǎng)絡(luò)犯罪分子很有吸引力，因為它成本效益高，而且能夠繞過標(biāo)準(zhǔn)的安全攔截和過濾器。

鏈接到谷歌云運行服務(wù)的大量釣魚電子郵件

攻擊鏈

這些攻擊往往是通過發(fā)送給潛在受害者的網(wǎng)絡(luò)釣魚電子郵件開始，這些電子郵件被偽造成發(fā)票、財務(wù)報表或當(dāng)?shù)卣投悇?wù)機(jī)構(gòu)信息的合法通信。

研究人員稱，由于攻擊目標(biāo)是拉丁美洲國家，因此活動中的大多數(shù)電子郵件都使用西班牙語，但也有使用意大利語的情況。

活動中使用的釣魚電子郵件樣本（思科）

這些電子郵件帶有重定向到谷歌云運行服務(wù)托管的惡意網(wǎng)絡(luò)服務(wù)的鏈接。

在某些情況下，有效載荷通過 MSI 文件傳送。在其他示例中，服務(wù)會發(fā)出 302 重定向到谷歌云存儲位置，該位置存儲了包含惡意 MSI 文件的 ZIP 壓縮包。

惡意軟件分發(fā)鏈（思科）

當(dāng)受害者執(zhí)行惡意 MSI 文件時，系統(tǒng)會下載并執(zhí)行新的組件和有效載荷。

在觀察到的案例中，第二階段的有效載荷傳輸是通過濫用合法的 Windows 工具 "BITSAdmin "完成的。

最后，惡意軟件通過在啟動文件夾中添加 LNK 文件（'sysupdates.setup<random_string>.lnk'），配置為執(zhí)行 PowerShell 命令來執(zhí)行感染腳本（'AutoIT'），從而在受害者的系統(tǒng)上建立持久性，以便在重啟后繼續(xù)運行。

阿斯塔羅斯的執(zhí)行鏈（思科）

黑客利用谷歌云運行服務(wù)傳播三大銀行木馬

此次黑客利用谷歌云運行服務(wù)傳播的三個銀行木馬分別是： Astaroth/Guildma、Mekotio 和 Ousaban。這些木馬都能夠隱蔽地滲透系統(tǒng)、建立持久性并外泄敏感的金融數(shù)據(jù)，這些數(shù)據(jù)均可用于接管銀行賬戶。

Astaroth 具有先進(jìn)的規(guī)避技術(shù)。該惡意軟件最初主要針對巴西受害者，但現(xiàn)在的目標(biāo)是拉丁美洲 15 個國家的 300 多家金融機(jī)構(gòu)。最近，該惡意軟件開始利用鍵盤記錄、屏幕捕獲和剪貼板監(jiān)控，Astaroth 不僅能竊取敏感數(shù)據(jù)，還能攔截和操縱互聯(lián)網(wǎng)流量以獲取銀行憑證。

Ousaban與Astaroth或系同個惡意軟件家族

除了Astaroth外，Mekotio 也已活躍數(shù)年，它以竊取銀行憑證、個人信息和進(jìn)行欺詐性交易而聞名。它還可以操縱網(wǎng)絡(luò)瀏覽器，將用戶重定向到釣魚網(wǎng)站。其以往的攻擊活動主要集中在拉丁美洲地區(qū)。

另外一個Ousaban 銀行木馬能夠進(jìn)行鍵盤記錄、截圖，并利用偽造（即克?。┑你y行門戶網(wǎng)站對銀行憑證進(jìn)行網(wǎng)絡(luò)釣魚。

Cisco Talos指出，Ousaban是在Astaroth感染鏈的后期階段發(fā)布的，這表明這兩個惡意軟件家族的操作者之間可能存在合作，或者是這兩個惡意軟件家族可能是由同一個威脅行為者同時管理的。