Ciberseguridad en la Nube: Cómo FLUXROOT y PINEAPPLE Aprovechan Google Cloud para el Phishing de Credenciales
En la actualidad, los servicios en la nube se han vuelto una herramienta indispensable para desarrolladores y empresas debido a su flexibilidad, rentabilidad y facilidad de uso. Sin embargo, estas mismas características han atraído la atención de actores maliciosos, quienes han encontrado en las arquitecturas sin servidor una manera eficiente de llevar a cabo sus campañas de phishing y malware. Dos ejemplos recientes de esto son los grupos de hackers conocidos como FLUXROOT y PINEAPPLE, quienes han estado abusando de Google Cloud para sus actividades ilícitas.
Campaña de Phishing de FLUXROOT
FLUXROOT, un grupo de actores maliciosos con motivación financiera y base en América Latina, ha implementado proyectos sin servidor en Google Cloud para orquestar actividades de phishing de credenciales. Su objetivo principal ha sido recolectar información de inicio de sesión asociada con Mercado Pago, una plataforma de pagos en línea muy popular en la región.
Google, en su informe bianual Threat Horizons, destacó que los arquitectos sin servidor son atractivos no solo para desarrolladores y empresas, sino también para actores maliciosos. Estas plataformas permiten a los atacantes alojar páginas de phishing, distribuir malware y ejecutar scripts maliciosos diseñados específicamente para entornos sin servidor. FLUXROOT es conocido por la distribución del troyano bancario Grandoreiro y ha empleado servicios legítimos como Microsoft Azure y Dropbox para sus campañas recientes.
PINEAPPLE y el Malware Astaroth
Otro grupo, denominado PINEAPPLE, ha explotado la infraestructura de Google Cloud para propagar el malware Astaroth, también conocido como Guildma. Las campañas de PINEAPPLE han dirigido sus ataques principalmente a usuarios brasileños. Utilizando instancias comprometidas de Google Cloud y proyectos creados por ellos mismos, han generado URLs de contenedores en dominios legítimos de Google Cloud como cloudfunctions[.]net y run.app. Estas URLs redirigían a los objetivos hacia infraestructuras maliciosas que desplegaban Astaroth.
Además, PINEAPPLE ha intentado evadir las protecciones de gateway de correo electrónico mediante el uso de servicios de reenvío de correos electrónicos que no bloquean mensajes con registros SPF fallidos. También han incorporado datos inesperados en el campo de ruta de retorno del SMTP para provocar un tiempo de espera en la solicitud DNS, lo que genera fallos en las verificaciones de autenticación del correo electrónico.
Medidas de Mitigación y Recomendaciones
Frente a estas amenazas, Google ha implementado acciones para mitigar las actividades de estos grupos maliciosos. Entre las medidas tomadas se incluyen la desactivación de proyectos maliciosos en Google Cloud y la actualización de sus listas de navegación segura. La adopción creciente de servicios en la nube ha permitido a los atacantes mezclarse con actividades normales de la red, dificultando notablemente su detección.
Conclusión
El aprovechamiento de las plataformas sin servidor y otros servicios en la nube por parte de los actores maliciosos plantea un desafío significativo para la ciberseguridad. Es crucial que tanto empresas como individuos permanezcan vigilantes y tomen medidas preventivas para proteger sus entornos en la nube. La colaboración entre proveedores de servicios en la nube y expertos en ciberseguridad es esencial para identificar y mitigar rápidamente estas amenazas emergentes.
Para más detalles sobre cómo mitigar estos riesgos, consulta el informe completo de Google aquí.
Fuente: https://thehackernews.com/2024/07/pineapple-and-fluxroot-hacker-groups.html