黑客滥用谷歌云服务窃取用户Office365信息诈骗者经常在多个云服务上托管钓鱼页面,引诱受害者登陆。CheckPoint的研究人员发布了一份详细说明该活动的报告,该活动依赖GoogleDrive托管恶意PDF文档,然后利用Google的“storage.googleapis[.]com”托管网络钓鱼页面。通过使用GoogleCloud或MicrosoftAzure等信誉良好的云服务,攻击者可以轻松绕过目标组织实施的防御措施。攻击链的起点是上传到GoogleDrive的PDF文档,其中包含指向网络钓鱼页面的链接。此活动中使用的网络钓鱼页面位于storage.googleapis[.]com/asharepoint-unwearied-439052791/index.html,旨在诱骗受害者提供他们的Office365登录名或组织电子邮件。选择其中一个登录选项后,受害者会看到一个带有Outlook登录页面的弹出窗口。输入凭据后,用户将被重定向到由知名全球咨询公司发布的真实PDF报告。在所有这些阶段,用户不会感到可疑,因为网络钓鱼页面托管在GoogleCloudStorage上。然而,查看钓鱼页面的源代码后发现,大部分资源都是从属于攻击者的网站prvtsmtp[.]com报道说。据研究人员称,在最近的一次攻击中,骗子已经开始利用谷歌云服务功能,允许代码在云端运行。通过使用这种技术,攻击者可以在不泄露域的情况下加载钓鱼页面的资源。“对prvtsmtp[.]com的调查显示它解析为乌克兰IP地址(31.28.168[.]4)。与此网络钓鱼攻击相关的许多其他域解析为相同的IP地址,或者位于同一网络的不同域中在街区。这让我们深入了解攻击者多年来的恶意活动,并让我们了解他们如何开展活动并引入新技术。例如,早在2018年,攻击者就曾直接在恶意网站上托管钓鱼页面。后来,攻击者在切换到谷歌云存储之前利用Azure存储来托管网络钓鱼页面。”这一发现让专家们可以将攻击者的活动追溯到2018年,当时他们将钓鱼网站直接托管在恶意网站上,然后切换到Azure存储,最后切换到谷歌云。报告总结道:“这一事件凸显了骗子和犯罪分子是如何通过欺骗用户来掩饰其恶意的。”
