Il servizio Google Cloud Run, progettato per offrire un ambiente di esecuzione di applicazioni scalabile e gestito, è stato recentemente al centro di una controversia per essere stato sfruttato come veicolo per la distribuzione di malware. Secondo quanto riportato dai ricercatori di Cisco Talos, vari trojan bancari, tra cui Astaroth, Mekotio e Ousaban, sono stati diffusi attraverso campagne di phishing mirate principalmente in America Latina, ma con impatto anche in Europa e Nord America.
Questo exploit dimostra come i cybercriminali stiano sempre più utilizzando servizi cloud legittimi per nascondere le loro attività dannose. Google Cloud Run, con la sua capacità di creare e distribuire rapidamente siti web e applicazioni, è diventato un obiettivo attraente per i malintenzionati che cercano di eludere le tradizionali misure di sicurezza.
Le campagne di phishing dietro a questa distribuzione di malware si presentano come email apparentemente legittime, spesso riguardanti fatture, documenti finanziari o comunicazioni ufficiali. Gli utenti ricevono un link che porta a un’applicazione ospitata su Google Cloud Run. Una volta eseguito il download e l’installazione di un installer MSI o di un archivio ZIP, vengono attivati i trojan bancari, che iniziano a registrare i tasti, catturare screenshot e rubare le credenziali di accesso ai conti correnti e ai wallet di criptovalute degli utenti.
La scoperta di questa attività malintenzionata ha spinto Google a intervenire tempestivamente, rimuovendo i link dannosi e promettendo di rafforzare le misure di sicurezza per impedire che simili abusi si verifichino in futuro. Tuttavia, l’episodio solleva preoccupazioni sulla sicurezza delle piattaforme cloud e sottolinea l’importanza di una costante vigilanza e di misure di protezione avanzate per contrastare le minacce informatiche sempre più sofisticate e diffuse.
