Uma nova campanha de ataque chamada CLOUD#REVERSER foi observada utilizando serviços legítimos de armazenamento em nuvem, como Google Drive e Dropbox, para hospedar cargas maliciosas. Os scripts VBScript e PowerShell no CLOUD#REVERSER envolvem atividades semelhantes a comando e controle, usando Google Drive e Dropbox como plataformas para gerenciar uploads e downloads de arquivos.

Os scripts são projetados para buscar arquivos que correspondem a padrões específicos, sugerindo que estão aguardando comandos ou scripts colocados no Google Drive ou Dropbox. O ponto de partida da cadeia de ataque é um e-mail de phishing contendo um arquivo ZIP, que inclui um executável disfarçado de arquivo Microsoft Excel.

Os scripts VB são configurados para executar os scripts PowerShell recém-baixados e buscar mais arquivos dos serviços em nuvem, incluindo binários que podem ser executados dependendo das políticas do sistema.

“O script PowerShell de estágio avançado zz.ps1 tem a funcionalidade de baixar arquivos do Google Drive com base em critérios específicos e salvá-los em um caminho especificado no sistema local dentro do diretório ProgramData,” disseram os pesquisadores. Esta campanha demonstra a crescente sofisticação dos ataques de phishing, utilizando serviços legítimos de armazenamento em nuvem para evitar a detecção e enganar usuários.