보안 연구원들은 라틴 아메리카를 비롯한 전 세계에 뱅킹 트로이 목마를 유포하기 위해 구글 클라우드 런(Google Cloud Run)을 활용하는 사이버 범죄자들이 급증하고 있다는 사실을 발견했다.

사용자가 번거로운 인프라 관리 없이 프론트엔드 및 백엔드 서비스를 원활하게 배포할 수 있는 플랫폼인 Google Cloud Run이 악의적인 공격자의 도구로 악용되고 있다. 이 서비스의 비용 효율성과 기존 보안 조치를 우회하는 기능으로 인해 멀웨어 페이로드를 은밀하게 배포하려는 사이버 범죄자들에게 타깃이 된 것이다.

이 공격 수법은 일반적으로 의심하지 않는 피해자를 속이기 위해 고안된 피싱 이메일에서 시작된다. 금융 기관이나 정부 기관의 합법적인 커뮤니케이션처럼 보이도록 제작된 이러한 이메일은 수신자가 악성 링크를 클릭하도록 유인하여 Google Cloud Run에서 호스팅되는 악성 웹 서비스로 리디렉션한다.

공격자는 MSI 인스톨러 파일을 사용하여 멀웨어 페이로드를 전달하는 경우도 있고, 악성 파일이 포함된 ZIP 아카이브가 있는 Google 클라우드 스토리지 위치로 피해자를 리디렉션하는 경우도있다. 이러한 파일이 실행되면 피해자의 시스템에서 추가 구성 요소와 페이로드를 다운로드하고 실행하는 등 일련의 활동이 시작된다.

구글 클라우드 런을 악용하는 캠페인은 주로 악명 높은 뱅킹 트로이목마 3종과 관련이있다. 바로 아스타로스/길드마, 메코티오, 오우사반등이다. 이러한 각 멀웨어 변종은 시스템에 은밀하게 침투하여 지속성을 확보하고 악의적인 목적으로 민감한 금융 데이터를 유출하도록 설계되었다.

-아스타로스/길드마: 처음에 브라질 피해자들을 표적으로 삼았던 아스타로스는 라틴 아메리카 15개국에 걸쳐 300개 이상의 금융 기관으로 공격 범위를 확장했다. 고급 회피 기술을 사용하여 민감한 데이터를 훔칠 뿐만 아니라 인터넷 트래픽을 가로채고 조작하여 암호화폐 교환 서비스를 포함한 은행 자격 증명을 캡처한다.

-메코티오(Mekotio): 라틴 아메리카 지역에서 수년간 활동한 메코티오는 은행 자격 증명과 개인 정보를 훔치고 사기 거래를 실행하는 데 특화되어있다. 또한 웹 브라우저를 조작하여 사용자를 피싱 사이트로 리디렉션하여 위협 잠재력을 증폭시킬 수 있다.

-우사반: 키로깅, 스크린샷 캡처, 뱅킹 자격 증명 피싱이 가능한 우사반은 종종 아스타로스 감염 체인의 후반 단계에서 전달된다. 이는 위협 행위자 간의 잠재적인 협력 또는 두 멀웨어 제품군을 관리한다.