Gangues cibercriminosas atacam serviços de nuvem no Brasil

2 min de leitura
Imagem de: Gangues cibercriminosas atacam serviços de nuvem no Brasil

A atividade de phishing que busca por uma URL Google Cloud ganhou novos ares. O grupo malicioso FluxRoot se aproveita de projetos sem servidor em nuvem para enganar possíveis vítimas.

No documento Google Threat Horizons Report, compartilhado inicialmente pelo The Hacker News, a empresa explica como o FluxRoot vem criando páginas de phishing direcionadas para roubar credenciais. Entre as páginas falsas, estão simulacros de Mercado Pago e GOV.

Atores criminosos podem realizar mineração de criptomoedas em projetos Google Cloud

No relatório, a Google comenta que “as arquiteturas sem servidor são atraentes para desenvolvedores e empresas por sua flexibilidade, economia e facilidade de uso. Esses mesmos recursos tornam os serviços de computação sem servidor para todos os provedores de nuvem atraentes para os cibercriminosos, que os utilizam para entregar malware, hospedar e direcionar usuários para páginas de phishing — e para executar malware e executar scripts maliciosos especificamente adaptados para um ambiente sem servidor”.

Além do roubo de credenciais e hospedagem de malware, atores criminosos podem realizar mineração de criptomoedas em projetos Google Cloud sem servidores que sejam acessados.

O grupo FluxRoot é um velho conhecido por ser o responsável pelo trojan bancário Grandoreiro — focado em atacar serviços de nuvem legítimos como Azure e Dropbox para distribuição de malware.

A Google também comenta sobre outro grupo, o Pineapple, responsável por distribuir um malware que rouba informações chamado de Astaroth.

“O Pineapple usa instâncias comprometidas do Google Cloud e projetos do Google Cloud que eles próprios desenvolveram para criar URLs de contêiner em domínios legítimos sem servidor do Google Cloud, como cloudfunctions[.]net e run.app. As URLs hospedavam páginas de destino redirecionando alvos para uma infraestrutura maliciosa que descarregava o Astaroth”, comentou a empresa.

A Google comenta sobre ações defensivas contra o FluxRoot e o Pineapple:

  • Utilizar o Google Cloud Secret Manager
  • Nunca armazenar dados sensíveis e ‘secretos’ em Variáveis de Ambiente
  • Checar permissões de acesso
  • Checagem regular de código, dependências e recursos de nuvem para possíveis
  • exposições de segredos e credenciais (recomendam a aba proteção de dados sensíveis do Google Cloud)

GOVPágina falsa GOV

O que é phishing

Caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.

Fontes

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.