I gruppi di hacker PINEAPPLE e FLUXROOT stanno sfruttando i servizi di Google Cloud per portare avanti attività di phishing mirate al furto di credenziali. FLUXROOT, un attore motivato finanziariamente con base in America Latina, è stato osservato mentre utilizzava progetti serverless di Google Cloud per orchestrare attacchi di phishing volti a raccogliere informazioni di login associate a piattaforme di pagamento online come Mercado Pago, popolare nella regione LATAM.

Le architetture serverless sono molto apprezzate dagli sviluppatori per la loro flessibilità, economicità e facilità d'uso. Tuttavia, queste stesse caratteristiche le rendono attraenti anche per i malintenzionati, che le utilizzano per distribuire malware, ospitare pagine di phishing e eseguire script dannosi progettati specificamente per ambienti serverless. La campagna di FLUXROOT ha visto l'uso di URL di container di Google Cloud per ospitare pagine di phishing con l'obiettivo di raccogliere informazioni di accesso.

FLUXROOT è noto per la distribuzione del trojan bancario Grandoreiro, utilizzando servizi cloud legittimi come Microsoft Azure e Dropbox per diffondere il malware. Parallelamente, l'infrastruttura cloud di Google è stata sfruttata anche da un altro gruppo di hacker chiamato PINEAPPLE per propagare un altro stealer malware noto come Astaroth, in attacchi mirati agli utenti brasiliani.

PINEAPPLE

PINEAPPLE ha utilizzato istanze compromesse di Google Cloud e progetti Google Cloud creati da loro stessi per generare URL di container su domini legittimi di Google Cloud, come cloudfunctions[.]net e run.app. Gli URL ospitavano pagine di atterraggio che reindirizzavano le vittime verso infrastrutture dannose che distribuivano Astaroth. Inoltre, PINEAPPLE ha cercato di bypassare le protezioni dei gateway email utilizzando servizi di inoltro di email che non bloccano messaggi con record SPF falliti o incorporando dati inattesi nel campo SMTP Return-Path per causare un timeout della richiesta DNS, facendo fallire i controlli di autenticazione delle email.

Google ha adottato misure per mitigare queste attività, abbattendo i progetti Google Cloud dannosi e aggiornando le liste di Safe Browsing. L'adozione crescente dei servizi cloud da parte delle industrie ha alimentato la sfruttamento di queste infrastrutture da parte degli attori di minacce, che spaziano dal mining di criptovalute illecite a causa di configurazioni deboli fino al ransomware. L'approccio consente inoltre agli avversari di mimetizzarsi nelle normali attività di rete, rendendo più difficile la loro rilevazione.

Gli attori di minacce sfruttano la flessibilità e la facilità di distribuzione delle piattaforme serverless per diffondere malware e ospitare pagine di phishing, adattando le loro tattiche in risposta alle misure di rilevamento e mitigazione dei difensori.