Μια εξελιγμένη νέα καμπάνια phishing έχει εμφανιστεί, αξιοποιώντας την αξιόπιστη υποδομή των υπηρεσιών Google Cloud για να παρακάμψει τα φίλτρα ασφαλείας και να κλέψει ευαίσθητα διαπιστευτήρια σύνδεσης του Microsoft 365.
Με την κατάχρηση των νόμιμων εργαλείων αυτοματισμού ροής εργασιών, οι φορείς απειλών δημιουργούν πειστικές επιθέσεις που συνδυάζονται άψογα με αυθεντικές επικοινωνίες, καθιστώντας τον εντοπισμό όλο και πιο δύσκολο τόσο για τα αυτοματοποιημένα συστήματα όσο και για τους τελικούς χρήστες.
Αυτή η καμπάνια στοχεύει συγκεκριμένα οργανισμούς που βασίζονται σε πλατφόρμες συνεργασίας που βασίζονται στο cloud, εκμεταλλευόμενοι τη διαλειτουργικότητα μεταξύ μεγάλων παρόχων υπηρεσιών για να διευκολύνουν τη συλλογή διαπιστευτηρίων σε μαζική κλίμακα.
Ο πυρήνας αυτής της επίθεσης περιλαμβάνει την εκμετάλλευση του Google Cloud Application Integration, μιας υπηρεσίας που έχει σχεδιαστεί για την αυτοματοποίηση των επιχειρηματικών διαδικασιών.
Οι εισβολείς χρησιμοποιούν τη δυνατότητα “Αποστολή email” σε αυτήν την πλατφόρμα για να δημιουργήσουν μηνύματα ηλεκτρονικού “ψαρέματος” που φαίνεται να προέρχονται από μια γνήσια διεύθυνση Google: noreply-application-integration@google[.]com.
Επειδή αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προέρχονται από έναν επαληθευμένο τομέα Google και χρησιμοποιούν ένα σύστημα διαμόρφωσης point-and-click, αποφεύγουν εύκολα τα τυπικά φίλτρα ανεπιθύμητης αλληλογραφίας και αξιοποιούν την εγγενή εμπιστοσύνη που σχετίζεται με την υποδομή του τεχνολογικού γίγαντα για να εξαπατήσουν στόχους.
Ερευνητές του Malwarebytes αναγνωρισθείς ότι αυτή η μέθοδος μειώνει σημαντικά το εμπόδιο εισόδου για τους εγκληματίες του κυβερνοχώρου, ειδικά επειδή οι νέοι πελάτες του Google Cloud λαμβάνουν επί του παρόντος δωρεάν πιστώσεις τις οποίες καταχρώνται οι εισβολείς.
Ο αντίκτυπος αυτής της καμπάνιας είναι σοβαρός, καθώς εκθέτει κρίσιμα εταιρικά διαπιστευτήρια σε κλοπή. Μόλις παραδοθεί το αρχικό μήνυμα ηλεκτρονικού ταχυδρομείου, οι ανυποψίαστοι χρήστες παρουσιάζονται με μια ειδοποίηση ρουτίνας, όπως μια ειδοποίηση τηλεφωνητή ή ένα αίτημα άδειας εγγράφου, νομιμοποιώντας περαιτέρω την κακόβουλη αλληλογραφία.
Ο Μηχανισμός Λοιμώξεων
Η επίθεση χρησιμοποιεί έναν έξυπνο μηχανισμό μόλυνσης πολλαπλών σταδίων για να αποφύγει τον εντοπισμό. Όταν ένα θύμα κάνει κλικ στον σύνδεσμο στο email ηλεκτρονικού ψαρέματος, δεν μεταφέρεται αμέσως σε κακόβουλο ιστότοπο.
Αντίθετα, κατευθύνονται σε μια νόμιμη διεύθυνση URL του Google Cloud Storage, η οποία ενισχύει την ψευδαίσθηση της ασφάλειας.
Από εκεί, ο χρήστης ανακατευθύνεται σε έναν άλλο τομέα που ανήκει στην Google, το googleusercontent[.]com, το οποίο εμφανίζει έλεγχο εικόνας CAPTCHA ή “Δεν είμαι ρομπότ”.
Αυτό το ενδιάμεσο βήμα εξυπηρετεί δύο κρίσιμους σκοπούς: φιλτράρει επιτυχώς αυτοματοποιημένα προγράμματα ανίχνευσης ασφαλείας που ενδέχεται να επισημάνουν τον ιστότοπο ηλεκτρονικού ψαρέματος και ωθεί ψυχολογικά το θύμα να συμμορφωθεί.
Αφού περάσει τον έλεγχο, ο στόχος ανακατευθύνεται τελικά σε μια δόλια σελίδα σύνδεσης του Microsoft 365 που έχει σχεδιαστεί για να καταγράφει ονόματα χρήστη και κωδικούς πρόσβασης. Αν και αυτή η σελίδα μιμείται οπτικά την επίσημη πύλη, μια προσεκτική επιθεώρηση της διεύθυνσης ιστού αποκαλύπτει τον κακόβουλο χαρακτήρα της.
Η Google έχει αναγνωρίσει αυτήν την κατάχρηση και δήλωσε ότι έχει αποκλείσει πολλές σχετικές καμπάνιες, διευκρινίζοντας ότι αυτή η δραστηριότητα προέρχεται από την κακή χρήση ενός εργαλείου αυτοματισμού ροής εργασιών και όχι από παραβίαση της υποδομής τους.
Συνιστάται στους επαγγελματίες ασφαλείας να επιθεωρούν προσεκτικά τις διευθύνσεις URL, καθώς η τελική σελίδα προορισμού φιλοξενείται σε μη επίσημους τομείς και να εφαρμόζουν ισχυρό έλεγχο ταυτότητας πολλαπλών παραγόντων για την προστασία των λογαριασμών χρηστών.
