Google Cloud Run активно используется для распространения банковских троянов

Хакеры активно используют сервис Google Cloud Run для распространения банковских троянов, таких как Astaroth, Mekotio и Ousaban. Внимание к проблеме привлекли исследователи Cisco Talos, которые наблюдают увеличение числа подобных случаев в сентября 2023 года. 

Трояны с помощью данного сервиса распространяются преимущественно в Европе и Латинской Америке. Наибольшее распространение получил Astaroth, который злоумышленники к настоящему моменту уже попытались использовать в отношении примерно трех сотен организаций в 15 латиноамериканских странах. 

Исследователи отмечают, что все три вышеназванных трояна распространяются в одинаковые временные рамки и из одного и того же хранилища в Google Cloud. Это позволяет предположить, что за Astaroth, Mekotio и Ousaban стоят одни и те же хакеры. В случае с Ousaban полезная нагрузка этого трояна была частью заражения трояном Astaroth.

Для распространения троянов активно используются электронные письма, количество которых с сентября 2023 года неуклонно растет. В пользу гипотезы о фокусировке хакеров на Латинской Америке говорит тот факт, что языком большинства писем является испанский. Однако зафиксированы также рассылки e-mail на итальянском, португальском и английском.