Hackers verspreiden trojans via Google Cloud-opslag

Abonneer je gratis op Techzine!

Een nieuwe campagne met zakelijke e-mails verspreidt malware in de Google Cloud Storage-dienst. De campagne richt zich vooral op financiële bedrijven, meldt ZDNet. De aanval werd ontdekt door onderzoekers van Menlo Labs.

De onderzoekers stellen dat ze de zogenaamde BEC-scam al enige tijd bestuderen. De campagne richt zich op werknemers van banken en financiële bedrijven. De aanval gebruikt social engineering en phishing-mails afgestemd op de doelwitten, in de hoop potentiële slachtoffers zo ver te krijgen om op malafide links te klikken en malware te downloaden. De aanval is sinds augustus actief en richt zich met name op bedrijven in Groot-Brittannië en de Verenigde Staten.

Deze specifieke aanval heeft volgens de onderzoekers een interessant element dat steeds vaker voorkomt. Het gebruikt legitieme, bekende opslagdiensten om meer vertrouwen op te roepen in een phishing-bericht. In dit geval gebruiken de hackers Google Cloud Storage. Volgens de onderzoekers stuurt ieder bericht een malafide .zip- of .gz-bestand dat opgeslagen is op storage.googleapis.com.

“Aanvallers kunnen hun payloads hosten met gebruik van dit vertrouwde domein om beveiligingscontroles van organisaties of die in beveiligingsproducten ingebouwd zitten te omzeilen”, aldus de onderzoekers. De techniek wordt “reputation-jacking” genoemd. Volgens het beveiligingsbedrijf werden 4.600 domeinen van de 100.000 meest populaire domeinen gebruikt bij phishing, waarbij legitieme hostingdiensten misbruikt werden.

Werking

De malware heeft maar een klein moment nodig om een organisatie te infiltreren. Mocht een systeem een phishing-mail krijgen, dan ziet het slachtoffer bijlages met namen als transfer.vbs, Remittance invoice.jar, Transfer invoice.vbs en Swift invoice.jar. Al die bijlages leiden naar bestanden opgeslagen op de Cloud Service.

Als de bestanden gedownload en uitgevoerd worden, treden de VBS-scripts en JAR-bestanden op als droppers om trojans van de Houdini-familie te downloaden en uit te voeren. Die malware-familie kan zich zijdelings door netwerken verspreiden en kan andere payloads van C-servers downloaden en uitvoeren. Het gaat bijvoorbeeld om ransomware of cryptojacking-malware.

Google is inmiddels op de hoogte gesteld van de bevindingen van de onderzoekers. De malafide payloads zijn verwijderd. “We verwijderen regelmatig malware op Google Cloud Storage en onze geautomatiseerde systemen hebben de malware uit dit rapport geschorst. Daarnaast kunnen klanten vermoedelijk misbruik via onze website rapporteren”, aldus een woordvoerder.