Cobalt ha estado utilizando Google App Engine para distribuir malware a través de documentos PDF como señuelo. El grupo atacó a más de 20 instituciones gubernamentales y financieras en todo el mundo.
Los ataques se llevaron a cabo vulnerando la redirección de la URL en archivos PDF y redirigiendo a la URL maliciosa que aloja el payload. Este ataque dirigido es más convincente que otros ataques porque la URL que aloja el malware apunta la URL del host hacia Google App Engine, haciendo que la víctima crea que el archivo se entrega desde una fuente confiable como Google.
Se utilizaron documentos PDF creados en Adobe Acrobat 18.0 que contenían las URL´s maliciosas de forma comprimida.
Una vez que se accede a la URL, el usuario cierra sesión en appengine.google.com y se genera un código de estado de respuesta '302' para la redirección de URL. A medida que esta acción se ejecuta, el usuario es redirigido a google.com/url mediante la query "? continue =". Usando esta lógica de redirección, se llega a la página de destino.
Los lectores de PDF emiten una advertencia de seguridad cuando el documento se conecta a un sitio web, pero una vez que marca la opción "recordar esta acción para este sitio", esta advertencia no se mostrará nuevamente.
El grupo de delincuencia de cobalto usaba archivos PDF que descargan un documento de Microsoft Word con código macro malicioso. Una vez que las víctimas habilitan la macro, se descarga otra etapa del payload.
La técnica de ataque se asemeja al método Squiblydoo en el que los scriptlets maliciosos se cargan utilizando aplicaciones nativas de Windows, y también permiten dar por alto soluciones de listas blancas de aplicaciones como Windows Applocker.
REFERENCIA
https://www.netskope.com/blog/targeted-attacks-abusing-google-cloud-platform-open-redirection
COMENTARIOS